WebGoat – сознательно небезопасное, веб-приложение Java, разработанное для единственной цели – преподавать уроки безопасности веб-приложения.
Официально утвержденная цель состоит в том, чтобы позволить разработчикам протестировать уязвимости, обычно находимые в Java-приложениях, которые используют общие и популярные компоненты с открытым исходным кодом.
Другими словами, как взломать веб-приложения Java.
Это руководство показывает, как установить его на любой недавней версии Ubuntu.
WebGoat основано на OWASP, Open Web Application Security Project, который в свою очередб обладает серией уроков, которые преподают различные меры безопасности приложений и методы тестирования на проникновение.
WebGoat – JAVA-приложение, таким образом, у вас должен быть установлен Java JRE.
Чтобы установить и проверить, что Java JRE установлен на вашем выпуске Ubuntu, запустите терминал оболочки и введите следующие команды:
# apt-get install default-jre
# java -version java version "1.7.0_95" OpenJDK Runtime Environment (IcedTea 2.6.4) (7u95-2.6.4-0ubuntu0.15.10.1) OpenJDK 64-Bit Server VM (build 24.95-b01, mixed mode)
# wget https://s3.amazonaws.com/webgoat-war/webgoat-container-7.0-SNAPSHOT-war-exec.jar
# java -jar webgoat-container-7.0-SNAPSHOT-war-exec.jar
Наконец, получите доступ к веб-интерфейсу, переместившись по адрессу http://localhost:8000/WebGoat.
Вы должны получить экран входа в систему точно такой же, как показано на рисунке ниже.
Вы можете войти в систему как гость или привилегированный пользователь, использующий учетную запись webgoat.
Здесь, например показан урок DOM инъекции.
WebGoat – холодный инструмент, но не используйте его, чтобы научиться при помощи него взламывать системы, которыми вы не владеете.
Его уроки должны познакомить вас со способами, которыми “blackhat” могут использовать, чтобы поставить под угрозу вашу систему.
Если вы знаете секреты их ремесла, вы находитесь в лучшей позиции, чтобы защитить свои системы.
Хорошего пентеста! Узнайте больше о WebGoat на домашней страницы проекта.