1.1 WebGoat简介
Webgoat是OWASP组织研究出的一个专门进行web漏洞实验的应用品台,这个平台里包含了web中常见的各种漏洞,例如:跨站脚本攻击、sql注入、访问控制、隐藏字段、Cookie等;
OWASP(Open Web Application Security Project)是一个非营利的组织,它的目的是帮助个人和企业来发现和使用可信赖的软件。
1.2 用到的工具
Webscarab十一个用来分析浏览器到服务器请求或者服务器到浏览器响应信息的一个框架,或者说是一个代理。它可以查看、修改、分析、删除浏览器和服务器之间的传送的信息,可以用来对http协议和https协议进行分析。
Firebug是Firefox下的一个开发工具,包含html、css、js审查和html、css修改等多项功能,是用来调试用的。可以通过F12之间打开,也可以通过菜单 -> 开发者打开。
Webscarab需要java环境,如果没有配置好java环境先自行配置java环境,这里假设java环境已经配置完成;则我们需要下载webscarab的安装包,解压完之后,如图0所示;这是我们只需点击webscarab.jar进行安装即可。
图 0 webscarab目录结构
1.3 安装过程
首先,webgoat是运行在带有java的品台之上的,如果你的机器没有安装java环境,还是需要先安装java环境的,具体java环境的安装不再介绍。
(1)下载任意版本的webgoat即可,不过还是推介下载最新版的,因为有一些实验在较低版本上是不能做的。下载完之后解压缩你会看到如图1所示的目录结构