什么是WebGoat
官方介绍: WebGoat 是由OWASP维护的故意不安全的 Web 应用程序,旨在教授 Web 应用程序安全课程。该程序演示了常见的服务器端应用程序缺陷。这些练习旨在供人们学习应用程序安全和渗透测试技术。
简而言之,WebGoat 就是 OWASP 发行的的用于进行 Web 漏洞实验的应用平台。
WebGoat运行在带有java虚拟机的平台之上,当前提供的训练项目有30多个,其中包括:SQL盲注、数字型SQL注入、字符串型SQL注入、跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、web服务、Open Authentication失效、危险的HTML注释等。
基于Docker配置WebGoat
-
安装Docker
sudo su
以root管理员身份打开
apt-get install docker.io
安装Docker
docker --version
查看Docker版本并检查是否安装成功 -
下载容器
docker pull webgoat/webgoat-8.0
这一步需要给Docker换国内源,参考:Docker换国内源(阿里云)
docker images
查看容器是否下载成功
-
运行WebGoat
sudo docker run -p 8080:8080 -t webgoat/webgoat-8.0
之后通过浏览器访问http://127.0.0.1:8080/WebGoat
就可以了
基于Release发行版安装WebGoat
首先从 Github 发布页下载: WebGoat Release 发布页
我下载的最新版 8.2.1,待会启动的时候注意版本
下载完后放到虚拟机中,放在同一个文件夹下,然后运行
java -jar webgoat-server-8.2.1.jar
注意换成自己的版本名
如果出现java版本不一致的报错就更新一下java,用下面的命令
sudo apt-get install openjdk*
启动成功,访问 http://127.0.0.1:8080/WebGoat