WebGoat的安装
Welcome Here!
谈一谈有关WebGoat的搭建
1.WebGoat环境搭建
(1)下载安装webscarab
首先我们先查看自己是否有可以运行.jar文件的jdk(jdk1.8),可在cmd.exe中输入java -version
,接着去sourceforge下载webscarab: WebScarab下载地址
等待几秒后自动下载.
出现此图情况点击保留,如果有McAfee的安全警报,点击认可风险。
下载完成后点击.jar文件,如果显示无法打开可能是因为之前下载的jdk与现在用的不一样,可以通过修改注册表编辑器打开:
①win+R输入regedit
,打开注册表编辑器
②在编辑下查找javaw.exe
③进入javaw->shell->open->command,双击(默认)
修改为当前的javaw.exe
④修改后就可以正常打开webscarab-installer-20070504-1631.jar了
一路"next",直至击“next”,无法继续进行。进入webscarab安装目录(C:\Program Files\WebScarab)查看是否生成jar包,确定jar包已生成,便可直接quit。
(2) 设置浏览器网络链接
设置浏览器代理:
(3)运行与测试
通过打开安装目录下的webscarab.jar文件进行测试:打开一个页面时,WebScarab 可以截获到请求,说明配置正确。
2.运行WebGoat
WebGoat 可以在网上下载到,运行其中的“webgoat_8080.bat”即可。在运行前,需要将代理设置为 localhost,端口 8008。
在浏览器中输入 http://localhost:8080/WebGoat/attack 登录,如果启动了 Webscarab,则在浏览器输入 http://localhost.:8080/WebGoat/attack。初始用户名密码是 guest。
(可以在\WebGoat-5.2\tomcat\conf\tomcat-users.xml 修改用户名与密码)
(也可以在\WebGoat-5.2\tomcat\conf\server_80.xml 文件中修改端口)
至此,webgoat的安装与运行完成!
3.String SQL Injection(字符串 SQL注入)
①进入webgoat,点击侧边栏Injection,选择SQL Injection (intro)进入简单SQL注入练习,如图:
②允许用户查看他们的信用卡号码。尝试通过 SQL 注入将所有信用卡信息显示出来。 尝试的用户名是“Smith”。
③尝试用户名是“'or ‘1’='1”
That’s all, thank 油!!!