溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
什么是WebGoat?引用一下OWASP官方介紹:
WebGoat是OWASP組織研制出的用于進行web漏洞實驗的應用平臺,用來說明web應用中存在的安全漏洞。WebGoat運行在帶有java虛擬機的平臺之上,當前提供的訓練課程有30多個,其中包括:跨站點腳本***(XSS)、訪問控制、線程安全、操作隱藏字段、操縱參數、弱會話cookie、SQL盲注、數字型SQL注入、字符串型SQL注入、web服務、Open Authentication失效、危險的HTML注釋等等。WebGoat提供了一系列web安全學習的教程,某些課程也給出了視頻演示,指導用戶利用這些漏洞進行***。
WebGoat多年來一直是版本5.4,今年升級為版本6。主要是基于新的框架和界面對各項課程進行了重新集成,項目主頁是http://webgoat.github.io/。
先來看一下兩個版本的界面:
實際使用中,新版本不僅界面漂亮,關鍵是hints、solutions等選項的內容更加完善,便于學習。使用WebGoat有兩種方法,一是直接下載運行包WebGoat-6.0-exec-war.jar,然后:
java -jar WebGoat-6.0-exec-war.jar
隨后就可以在本機瀏覽器里使用了:
http://localhost:8080/WebGoat
但是個人更傾向于另一種方法,就是下載源碼包,通過maven部署使用。好處是可以完成一些需要修改源代碼的課程,而且不限于本機運行。但全新安裝tomcat、maven、java等必需環境,而且把參數設置好非常麻煩,所以直接在OWASP的Broken Web APP虛擬機上使用是最方便的,因為環境都已經構建好了。具體步驟如下:
下載得到WebGoat-Master.tar.gz,復制到/var/www里解壓,得到WebGoat-master項目目錄:
因為虛擬機啟動時tomcat已經運行了,所以要先停止服務,再用mvn啟動。將幾個過程寫成批處理:
cat >~/run_webgoat6.sh<<EOF /etc/init.d/tomcat6 stop cd /var/www/WebGoat-master mvn clean tomcat:run-war EOF
這樣,WebGoat5.4和6兩個版本就是虛擬機里共存了。開機以后不運行run_webgoat6.sh腳本,則啟動webgoat5.4,運行了以后再從主界面進入就可以play了!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
