web应用漏洞学习利器-webgoat使用教程

《web应用漏洞学习利器-webgoat使用教程》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、web应用漏洞学习利器-WebGoat使用教程WebGoat是由著名的OWASP负责维护的一个漏洞百出的J2EEWeb应用程序，这些漏洞并非程序中的bug，而是故意设计用来讲授Web应用程序安全课程的。这个应用程序提供了一个逼真的教学环境，为用户完成课程提供了有关的线索。Mu%'cwp$ 对于每堂课，都对应于WebGoat应用程序中的一个实际的安全漏洞，为了能亲身实践如何利用这个漏洞，您首先需要具备该漏洞的有关知识，虽然WebGoat应用程序本身提供了有关的简介，但是很可能需要查找更多的资料才能搞定这个漏洞，所以，它对于激发安全测试人员和开发人员来的学习兴趣和提

2、高安全知识的理解及动手能力方面，都是非常有帮助的。举个例子，在其中一个课程中，用户必须使用SQL注入来窃取（杜撰的）信用卡号。——51CTO王文文：看到这个，由衷的感叹老外对网络安全教育的认真和开放的程度。

3、洞的平台作为活靶子。但是，无论学习web测试，还是检查工具性能，都要求在一个安全、合法的环境下进行。即使你的意图是好的，但是在未经许可的情况下企图查找安全漏洞也是绝不允许的。这时，WebGoat项目便应运而生了。;Cy@TzO/

4、 WebGoat项目的主要目标很简单，就是为Web应用程序安全学习创建一个生动的交互式教学环境。将来，项目研究小组希望将WebGoat发展成为一个安全性基准测试程序平台和一个基于Java的蜜罐网站。如果您有兴趣，也可以查阅这个项目的路线图，其中能够找到一些可以立即参与的任务。——51CTO王文文：是不是挺像一个黑客游戏？既能过瘾又能练习网

5、络安全技术，最重要的是不用去危害真实的网站。nGt8u4gcP 二、WebGoat概要)<

6、TEp4r- WebGoat是一个用来演示Web应用程序中的典型安全漏洞的应用程序，旨在在应用程序安全审计的上下文中系统、条理地讲解如何测试和利用这些安全漏洞。WebGoat是用Java语言写成的，因此可以安装到所有带有Java虚拟机的平台之上。此外，它还分别为Linux、OSXTiger和Windows系统提供了安装程序。部署该程序后，用户就可以进入课程了，该程序会自动通过记分卡来跟踪用户的进展。当前提供的训练课程有30多个，其中包括：跨站点脚本攻击（XSS）、访问控制、

7、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、OpenAuthentication失效危险的HTML注释……等等！+EB##  l我们希望通过WebGoat帮助测试人员掌握以下技能：oK>,MdB  l◆理解web应用程序中的各种高级交互过程i~;8'>:

8、,M  l◆确定出有助于发动攻击的客户端可见数据A"'MRYT`  l◆识别和理解能将应用程序暴露在攻击之下的数据和用户交互A>?fbY2n  l◆对这些交互进行测试，并暴露出它们的漏洞cNVdGY%& ◆攻击应用程序以演示

9、和利用服务器的弱点
H07j& 对于WebGoat来说，它的安装过程就是下载和解压缩，然后就可以使用了。然而，一些用户可能更喜欢下载war文件。下面就所有的安装方式分别做详细的说明。Vo%d;>!G; T)uw2三、WebGoat标准版安装方法x*me'?q WebGoat是一个平台无关的Web安全漏洞实验环境，该环境需要ApacheTomcat和JAVA开发环境的支持。它分别为MicrosoftWindows和UN*X环境提供了相应的安装程序，下面我们将根据操作系统分别加以介绍。[J)/Et 安装Java和TomcatQ`S

10、iV 需要注意，从版本5开始，这一步可以省略，因为它们自身带有JavaDevelopmentKit和Tomcat5.5。首先安装Java，您可以从http://java.sun.com/downloads/安装和部署合适的版本，最低版本要求为1.4.1，然后安装Tomcat，您可以从http://tomcat.apache.org/download-55.cgi安装和部署Tomcat。_BG8/"h32 安装到Windows系统(;0$i?3 1.将WebGoat-OWASP_Standard-5.2.zip解压至合适的目录中。

11、*^8~u3J" 2.