零、SecurePassword　　这里没什么可审计的，经典的爆破，定期更换复杂度相当的密码吧……一、Passwordreset　　1.level2　　这里题目给出的信息是登录自己的WebWolf，密码是从e-mail得到的，那就开始吧~　　这里我的WebWolf不能正常访问，但是所有功能以及运行是没问题的，就先不管了，反正主要是审计，问题大概出现在jar包里面，回头再看吧~　　这里可以看41行，题目通过的答案就是你的用户名@webgoat.org，密码是用户名的反转，下面找一下password~　　这里也能看到，WebWolf里面应该会显示这个内容，打不开就算了，随缘能运行就行……　　忽然

一、SqlInjection_introduction　　1.这里level1-8就不说了，都是介绍+简单的sql语句，直接上level9　　这里可以看到，是给出了选择框的一道题，OWASP真不错，生怕你不会哈哈~　　这里其实就是最简单的sql注入的情况，65行处没有对输入的语句(accountName参数)进行过滤，简单正则匹配修复一下即可~　　这里本来想用常用的预编译的方法，但是忽然意识到还要去找他的字段，多一事不如少一事，就把预编译方法放到下一个修复方式中吧哈哈（这里感谢大学时期最要好盆友之一柴xx，java这边很多问题都咨询了他，技术大拿是也~）　　2.level10　　这里可以看到也

 零、SecurePassword　　这里没什么可审计的，经典的爆破，定期更换复杂度相当的密码吧……一、Passwordreset　　1.level2　　这里题目给出的信息是登录自己的WebWolf，密码是从e-mail得到的，那就开始吧~　　这里我的WebWolf不能正常访问，但是所有功能以及运行是没问题的，就先不管了，反正主要是审计，问题大概出现在jar包里面，回头再看吧~　　这里可以看41行，题目通过的答案就是你的用户名@webgoat.org，密码是用户名的反转，下面找一下password~　　这里也能看到，WebWolf里面应该会显示这个内容，打不开就算了，随缘能运行就行……　　忽然

一、SqlInjection_introduction　　1.这里level1-8就不说了，都是介绍+简单的sql语句，直接上level9　　这里可以看到，是给出了选择框的一道题，OWASP真不错，生怕你不会哈哈~　　这里其实就是最简单的sql注入的情况，65行处没有对输入的语句(accountName参数)进行过滤，简单正则匹配修复一下即可~　　这里本来想用常用的预编译的方法，但是忽然意识到还要去找他的字段，多一事不如少一事，就把预编译方法放到下一个修复方式中吧哈哈（这里感谢大学时期最要好盆友之一柴xx，java这边很多问题都咨询了他，技术大拿是也~）　　2.level10　　这里可以看到也

一、漏洞概述2022年3月1日，VMware官方发布漏洞报告，在使用SpringColudGateway的应用程序开启、暴露GatewayActuator端点时，会容易造成代码注入攻击，攻击者可以制造恶意请求，在远程主机进行任意远程执行。 二、影响版本SpringCloudGateway3.1.xSpringCloudGateway3.0.x旧的、不受支持的版本也会受到影响 三、漏洞原理大白话就是说：因为ShortcutConfigurable.java中的getValue方法可以被ConfigurationService.java包中ConfigurableBuilder的normalize

一、漏洞概述2022年3月1日，VMware官方发布漏洞报告，在使用SpringColudGateway的应用程序开启、暴露GatewayActuator端点时，会容易造成代码注入攻击，攻击者可以制造恶意请求，在远程主机进行任意远程执行。 二、影响版本SpringCloudGateway3.1.xSpringCloudGateway3.0.x旧的、不受支持的版本也会受到影响 三、漏洞原理大白话就是说：因为ShortcutConfigurable.java中的getValue方法可以被ConfigurationService.java包中ConfigurableBuilder的normalize