一、什么是 WebGoat
WebGoat 是 OWASP 组织研制出的用于进行 web 漏洞实验的应用平台,用来说明 web
应用中存在的安全漏洞。WebGoat 运行在带有 java 虚拟机的平台之上,当前提供的训练课
程有 30 多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、
操纵参数、弱会话 cookie、SQL 盲注、数字型 SQL 注入、字符串型 SQL 注入、web 服务、Open
Authentication 失效、危险的 HTML 注释等等。WebGoat 提供了一系列 web 安全学习的教程,
某些课程也给出了视频演示,指导用户利用这些漏洞进行攻击。
二、什么是 OWASP
OWASP 是一个开放式 Web 应用程序安全项目(OWASP,Open Web Application Security
Project)组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其
目的是协助个人、企业和机构来发现和使用可信赖的软件。开放式 Web 应用程序安全项目
(OWASP)是一个非营利组织,不附属于任何企业或财团。因此,由 OWASP 提供和开发的
所有设施和文件都不受商业因素的影响。
三、WebGoat部署
下载地址:
https://github.com/WebGoat/WebGoat/releases
注意:该靶场需要Java 11的环境
在CMD下进入该文件路径,执行以下命令:
java -jar webgoat-server-8.0.0.M26.jar --server.port=8888 --server.address=192.168.70.129
(这里指定了端口以及IP地址)
在浏览器中输入地址进入登录界面
需要先注册一个账号
注册完成后即可登录
