WebGoat是一个用来演示Web应用程序中的典型安全漏洞的应用程序,旨在在应用程序安全审计的上下文中系统、条理地讲解如何测试和利用这些安全漏洞。WebGoat是用Java语言写成的,因此可以安装到所有带有Java虚拟机的平台之上。此外,它还分别为Linux、OS X Tiger和Windows系统提供了安装程序。部署该程序后,用户就可以进入课程了,该程序会自动通过记分卡来跟踪用户的进展。当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效危险的HTML注释……等等!
我们希望通过WebGoat帮助测试人员掌握以下技能:
◆理解web应用程序中的各种高级交互过程
◆确定出有助于发动攻击的客户端可见数据
◆识别和理解能将应用程序暴露在攻击之下的数据和用户交互
◆对这些交互进行测试,并暴露出它们的漏洞
◆攻击应用程序以演示和利用服务器的弱点
对于WebGoat来说,它的安装过程就是下载和解压缩,然后就可以使用了。然而,一些用户可能更喜欢下载war文件。下面就所有的安装方式分别做详细的说明。
WebGoat下载地址:http://code.google.com/p/webgoat/downloads/list
WebGoat官方网站:http://code.google.com/p/webgoat/
OWASP中的介绍:https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project