OWASP WebGoat---安全测试学习笔记（一）

编者按：

        作为一名黑盒测试人员，我是今年初开始接触安全性测试这个方向的。但是在学习安全性测试时，感觉知识点很碎，或者说缺少纲领性的东西，很难下手或迈出第一步。后来找到了OWASP top 10，

进而开始接触OWASP项目。写WebGoat系列文章的目的，将以WebGoat项目为示例，在完成训练课程的同时，较为全面的掌握Web应用的漏洞利用、原理分析、测试方法、代码级防范，算是自己的目标吧。

当然从时间上考量的话，应该不会很快完成。需要耐心，这是一个漫长的过程。从深度上看，文章应该是先完成、实现，然后深入、完善，也是一个漫长的过程。

一、OWASP(Open Web Application Security Project) 简介

        OWASP是一个开源的、非盈利的全球性安全组织，致力于应用软件的安全研究。文章中有关于安全测试的学习都将从OWASP项目开始。

           OWASP Top 10 为大家提供了学习安全测试的提纲。

        网址：https://www.owasp.org       

                  http://www.owasp.org.cn

二、WebGoat 项目简介

        WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台，用来说明web应用中存在的安全漏洞。WebGoat运行在带有JVM的平台上，

当前提供的训练课程有30多个，其中包括：跨站点脚本攻击（XSS）、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、

数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程，

某些课程也给出了视频演示，指导用户利用这些漏洞进行攻击。

        本文也将以 WebGoat 为提纲来完成安全测试的学习。

        网址（项目介绍）：https://www.owasp.org/index.php/Webgoat

        相关资源： WebGoat-user-beta手册.pdf

                           WebGoatv2.2技术文档.pdf

                           OWASP_Testing_Guide_v3.pdf

三、WebGoat 的安装

        WebGoat是一个javaweb项目，war包部署到Tomcat即可。至于jre、tomcat的安装这里不写，训练课程里面涉及到的工具在用到时再描述。

        项目主页（相关内容下载）：

        http://code.google.com/p/webgoat   (WebGoat5.4)

        http://sourceforge.net/projects/owasp/files/WebGoat/   (WebGoat5.2 )

        http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project

        

        安装方式1：下载 WebGoat-5.4-