WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞,它是运行在java虚拟机上的。WebGoat提供很多安全课程。官方描述为:“test vulnerabilities commonly found in Java-based applications that use common and popular open source components”
用另一种说法是:怎么hack java web应用。下面记录了在Ubuntu安装WebGoat的步骤。
WebGoat是基于Java的应用,所以你需要安装Java JRE。可以使用如下命令安装:
$ sudo apt-get install default-jre
查看Java版本:
$ java -version
java version "1.7.0_95"
OpenJDK Runtime Environment (IcedTea 2.6.4) (7u95-2.6.4-0ubuntu0.14.04.1)
OpenJDK 64-Bit Server VM (build 24.95-b01, mixed mode)
下载WebGoat:
$ wget https://s3.amazonaws.com/webgoat-war/webgoat-container-7.0-SNAPSHOT-war-exec.jar
运行WebGoat:
$ java -jar webgoat-container-7.0-SNAPSHOT-war-exec.jar
WebGoat使用8080端口,访问http://localhost:8080/WebGoat:
可以使用guest用户登录,也可以使用webgoat用户登录。登录进去之后,你可以看到很多教程:
例如,上面是SQL注入教程。
WebGoat是很好的学习工具,但是不要用你学到的知识去攻击不属于你的系统。重点是了解黑客的攻击方法,一旦你知道了他们的攻击手法,你就可以更好的保护你的系统。
想要获得更多信息,去webgoat项目wiki:https://github.com/WebGoat/WebGoat/wiki。