WebGoat简介
- WebGoat是OWASP组织研制出的用于进行Web漏洞实验的应用平台,用来说明Web应用中存在的安全漏洞。WebGoat运行在带有Java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话Cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。
- 本系列实验采用的是WebGoat 7.1稳定版,服务器是Tomcat(已经被集成在下载的包里面),Web应用是WebGoat。
- 本系列实验的目的是掌握一般的Web安全及其防御手段,同时学会渗透测试工具burpsuite等的使用。
实验环境安装步奏
整体实验环境安装分为两步,第一步是安装Java环境,第二步是运行WebGoat。
1.下载Java JDK
下载地址在:http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html
这里选用JDK 1.8版本
如果电脑操作系统是32位,选择x86
如果电脑操作系统是64位,选择x64
2.安装Java运行环境
直接双击下载的文件就行了,同时注意这里的安装路径,后面设置环境变量要用到。
3.设置Java环境变量
依次打开:计算机——> 右键属性 ——> 高级系统变量 ——> 环境变量
在系统变量里面做三件事情:
(1)新建->变量名JAVA_HOME,变量值C:\Program Files\Java\jdk1.8.0_121(即上面第二步中JDK的安装路径)
(2)编辑->变量名Path,在原变量值的最后面加上;%JAVA_HOME%\bin;%JAVA_HOME%\jre\bin
(3)新建->变量名CLASSPATH,变量值.;%JAVA_HOME%\lib;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar
4.检查Java环境是否安装正确
在Windows的cmd里面输入如下三个命令:1
2
3java
javac
java -version
如果都能正常运行说明Java环境安装正确
5.下载WebGoat包
下载地址:https://github.com/WebGoat/WebGoat/wiki/Running-WebGoat
6. 运行WebGoat
上面的图片已经告诉我们如何运行WebGoat了,先找到刚刚下载的包的位置,然后在cmd里面输入如下命令:1
java -jar webgoat-container-7.1-exec.jar
打开浏览器访问网址:http://localhost:8080/WebGoat
即可进入实验课程,一步步做实验,左边是全部的课程,每做完一个会有一个小的对勾。
参考资料
【版权声明】
本文首发于戚名钰的博客,欢迎转载,但是必须保留本文的署名戚名钰(包含链接)。如您有任何商业合作或者授权方面的协商,请给我留言:qimingyu.security@foxmail.com
欢迎关注我的微信公众号:科技锐新
