WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有Java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、数字型SQL攻击、字符串型SQL攻击、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程,某些课程也给出了视频演示,指导用户利用这些漏洞进行攻击。
系统版本:
此次安装WebGoat选用ubuntu14.04
安装之前,首先,在系统上安装JSP环境:
1.安装java
sudo apt-get -y install default-jdk
java --version(正常输出,则java安装成功)
2.安装tomcat7
apt-get install -y tomcat7 tomcat7-admin tomcat7-docs tomcat7-examples
3.安装MySQL
sudo apt-get -y install mysql-server mysql-common mysql-client
安装时,会跳出一个对话框,要求设置mysql的用户名和密码。
4.测试
浏览器输入http://localhost:8080,出现如下界面,则说明JSP环境安装成功。
配置WebGoat
WebGoat下载地址:https://github.com/WebGoat/WebGoat-Archived-Releases
有多种版本,多种安装方式,这里选用的是5.4版本,采用的是war方式安装
下载相应的版本,将对应的WebGoat-5.X.war文件,重命名为WebGoat.war,放在/tomcat7/的/webapps目录下即可(我的tomcat7的目录为/var/lib/tomcat7/)。
修改tomcat7的配置文件,/var/lib/tomcat7/conf/tomcat-users.xml文件,添加如下内容:
<?xml version="1.0" encoding="UTF-8"?>
<tomcat-users>
<role rolename="webgoat_basic"/>
<role rolename="webgoat_admin"/>
<role rolename="webgoat_user"/>
<role rolename="tomcat"/>
<user password="webgoat" roles="webgoat_admin" username="webgoat"/>
<user password="basic" roles="webgoat_user,webgoat_basic" username="basic"/>
<user password="tomcat" roles="tomcat" username="tomcat"/>
<user password="guest" roles="webgoat_user" username="guest"/>
</tomcat-users>
重启tomcat7服务
sudo service tomcat7 restart
浏览器访问http://localhost:8080/WebGoat/attack,即出现如下界面,输入用户名与密码,默认为guest/guest
加入后,出现如下所示界面,即安装成功。
