web应用漏洞学习利器-WebGoat使用教程

web应用漏洞学习利器-WebGoat使用教程

WebGoat是由著名的OWASP负责维护的一个漏洞百出的J2EE Web应用程序,这些漏洞并非程序中的bug,而是故意设计用来讲授Web应用程序安全课程的。这个应用程序提供了一个逼真的教学环境,为用户完成课程提供了有关的线索。

对于每堂课,都对应于WebGoat应用程序中的一个实际的安全漏洞,为了能亲身实践如何利用这个漏洞,您首先需要具备该漏洞的有关知识,虽然WebGoat应用程序本身提供了有关的简介,但是很可能需要查找更多的资料才能搞定这个漏洞,所以,它对于激发安全测试人员和开发人员来的学习兴趣和提高安全知识的理解及动手能力方面,都是非常有帮助的。举个例子,在其中一个课程中,用户必须使用SQL注入来窃取(杜撰的)信用卡号。——51CTO王文文:看到这个,由衷的感叹老外对网络安全教育的认真和开放的程度。

一、为什么要设计WebGoat

在学习和实践Web应用程序安全知识时,我们所面临的一大难点是:到哪里去找可以练手的web应用程序呢?显然,明目张胆地扫描在线书店或者网络银行可不是个好主意,小心警察叔叔会找上门来。此外,安全专业人员经常需要测试某些安全工具,以检查它们的功能是否如厂商所鼓吹的那般,这时他们就需要一个具有确定漏洞的平台作为活靶子。但是,无论学习web测试,还是检查工具性能,都要求在一个安全、合法的环境下进行。即使你的意图是好的,但是在未经许可的情况下企图查找安全漏洞也是绝不允许的。这时,WebGoat项目便应运而生了。

WebGoat项目的主要目标很简单,就是为Web应用程序安全学习创建一个生动的交互式教学环境。将来,项目研究小组希望将WebGoat发展成为一个安全性基准测试程序平台和一个基于Java的蜜罐网站。如果您有兴趣,也可以查阅这个项目的路线图,其中能够找到一些可以立即参与的任务。——51CTO王文文:是不是挺像一个黑客游戏?既能过瘾又能练习网络安全技术,最重要的是不用去危害真实的网站。

二、WebGoat概要

WebGoat是一个用来演示Web应用程序中的典型安全漏洞的应用程序,旨在在应用程序安全审计的上下文中系统、条理地讲解如何测试和利用这些安全漏洞。WebGoat是用Java语言写成的,因此可以安装到所有带有Java虚拟机的平台之上。此外,它还分别为Linux、OS X Tiger和Windows系统提供了安装程序。部署该程序后,用户就可以进入课程了,该程序会自动通过记分卡来跟踪用户的进展。当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失

相关推荐
相关主题
热门推荐