WebGoat是OWASP组织研制出的用于进行web漏洞实验的Java靶场程序,用来说明web应用中存在的安全漏洞。
WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。
1.安装前置条件
我们这里选择WebGoat的jar版本,由于WebGoat 8的jar文件已自带了tomcat和数据库,所以不需要再另外安装tomcat和mysql这种东西,只需要安装jdk用于运行jar文件即可。
查资料说需要安装jdk1.8版本,但是我安装后再部署webgoat提示版本冲突,于是安装jdk 11版本,换个更高的版本就可以了。
jdk 11网盘下载地址
2.安装
Webgoat官方release版本在github上下载简直龟速!!
贴出百度云链接 https://pan.baidu.com/s/1plTxkZUhSZm9vA5GGzYmMQ
提取码:t6e3
下载完成后到下载目录,执行命令(必须检查jdk是否安装正确)
java -jar webgoat-server-8.0.0.M25.jar
看到下面的提示说明已经安装成功可以使用了~
接下来就能通过链接
http://127.0.0.1:8080/WebGoat/login
或http://localhost:8080/WebGoat/login访问WebGoat了。
同时,官方提供了另外一个含有漏洞的应用WebWolf来,执行命令
java -jar webwolf-8.0.0.M25.jar
安装成功后,通过链接http://127.0.0.1:9090/login访问WebWolf。
3.登录
根据上述链接进入登录界面(注意使用时控制台不能关闭,不然服务就关闭了)
首先需要注入一个账号,然后登录后,就可以进行Webgoat渗透学习了!
这里简单介绍了Webgoat的安装部署过程,要进一步学习还得慢慢打好基础T_T。