详细内容请至开发网站观看
http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
这是用来练习Web安全漏洞攻击的平台
里面包含一些练习题并附上解答
下载页面http://sourceforge.net/project/showfiles.php?group_id=64424&package_id=61824
下载后解压缩完后执行webgoat以开始tomcat
跑出来的命令提示字元不要关闭,除非你想结束练习
浏览器输入http://localhost/WebGoat/attack,帐号及密码都是guest
能顺利看到登入视窗的话非常恭喜,开始屠宰它吧 !
(到这部份webgoat里的readme里都有写)
如果不行就看看readme吧
WebGoat主界面大体如上图,左侧是待选取的各种类型的攻击实验课程,中间是实验区,上部工具条是帮助系统。
WebGoat涵盖了下列的攻击类型,主要的Web漏洞都照顾到了:
* Cross-site Scripting (XSS)
* Access Control
* Thread Safety
* Hidden Form Field Manipulation
* Parameter Manipulation
* Weak Session Cookies
* Blind SQL Injection
* Numeric SQL Injection
* String SQL Injection
* Web Services
* Fail Open Authentication
* Dangers of HTML Comments
* …
最让人喜欢的还是其人性化的实验帮助系统。
1.如果学习者无法完成一个攻击题目,则可以点击“hints”,系统会给出提示。如果仍然完不成则可以继续多次要求hint。
2.若是还搞不定可以点击“Show Solution”,此时系统会给出图文并茂的完整的答案以及攻击的详细步骤。
3.对于头脑仍然不灵光者,系统给出了link,可以download包含完整攻击步骤的视频。
4.再完不成就建议检查一下脑袋是否被x踢过:-)
OWASP也有独立项目,基于ModSecurity为WebGoat打个Virtual patch。网络扫描设备也可以用WebGoat做实验,看看能检查出多少漏洞。
总之,WebGoat是傻瓜型学习工具,只要会玩游戏者几分钟内即可上手,可以在各个级别的网络安全培训中直接使用,也是一个造福人类的好项目。
最后需要大家注意的是Webgoat作者的真挚的提醒:
1.不要把学到的技术用在真实的网络上面实验,你很可能被抓获。
2.不要把webgoat在你的公网IP上面启动,这种带有多种漏洞的系统,很容易被攻陷。
1985
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
