简介:WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。
在这里,我准备记录下我学习WebGoat的所获所得,也和大家一起交流学习。
WebGoat的安装
WebGoat的安装比较简单,需要java环境,所以需要先安装jdk,并配置相应的环境变量。在这里我就不写Java环境的配置了,只提供了webgoat-5.4的安装包和使用说明书。
链接:https://pan.baidu.com/s/1R8stX5ttHXc6exiv_NRGoA
提取码:uvg5
(1)下载5.4版本WebGoat-5.4-OWASP_Standard_Win32.zip,解压,运行webgoat_8080.bat,开启tomcat成功(如果不喜欢tomcat一直在任务栏,就手动关掉conhost进程)。
(2)在浏览器中输入http://localhost:8080/WebGoat/attack(注意大小写),打开测试页面,用默认账号密码guest,guest登录。点击“Start WebGoat”之后,就可以看到实验项目了。
我没有使用它配套的抓包工具WebScarab,而是使用了我比较熟悉的burpsuite,这两个都能抓包,后者功能较强大一点,burpsuite的安装包在上面的链接中也有,需要的可以自己去下载。