编者按:
作为一名黑盒测试人员,我是今年初开始接触安全性测试这个方向的。但是在学习安全性测试时,感觉知识点很碎,或者说缺少纲领性的东西,很难下手或迈出第一步。后来找到了OWASP top 10,
进而开始接触OWASP项目。写WebGoat系列文章的目的,将以WebGoat项目为示例,在完成训练课程的同时,较为全面的掌握Web应用的漏洞利用、原理分析、测试方法、代码级防范,算是自己的目标吧。
当然从时间上考量的话,应该不会很快完成。需要耐心,这是一个漫长的过程。从深度上看,文章应该是先完成、实现,然后深入、完善,也是一个漫长的过程。
一、OWASP(Open Web Application Security Project) 简介
OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。文章中有关于安全测试的学习都将从OWASP项目开始。
OWASP Top 10 为大家提供了学习安全测试的提纲。
网址:https://www.owasp.org
http://www.owasp.org.cn
二、WebGoat 项目简介
WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有JVM的平台上,
当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、
数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程,
某些课程也给出了视频演示,指导用户利用这些漏洞进行攻击。
本文也将以 WebGoat 为提纲来完成安全测试的学习。
网址(项目介绍):https://www.owasp.org/index.php/Webgoat
相关资源: WebGoat-user-beta手册.pdf
WebGoatv2.2技术文档.pdf
OWASP_Testing_Guide_v3.pdf
三、WebGoat 的安装
WebGoat是一个javaweb项目,war包部署到Tomcat即可。至于jre、tomcat的安装这里不写,训练课程里面涉及到的工具在用到时再描述。
项目主页(相关内容下载):
http://code.google.com/p/webgoat (WebGoat5.4)
http://sourceforge.net/projects/owasp/files/WebGoat/ (WebGoat5.2 )
http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
安装方式1:下载 WebGoat-5.4-