一、说明
1.1 背景说明
之前只用过dvwa,听说WebGoat也是类似的平台后,想装来试试有没有什么异同。
看了下载文件,和网上官方的、非官方的安装教程,感觉很多都对不上;
最后发现WebGoat 8是几天前才发布的,网上官方的、非官方的安装教程都是针对的WebGoat 7或更前面的版本,所以这里根据自己的步骤整理了一篇教程。
1.2 安装前置条件说明
我们这里选择使用WebGoat的jar文件,该jar文件中自带了tomcat和数据库,所以到时只要使用java运行jar文件即可。
也就是说使用WebGoat只需要安装jdk即可,由于WebGoat 8使用jdk 1.8编译所以我们也需要安装jdk 1.8版本。
jdk安装过程不再辍述,如果需要,可参考链接。
二、安装
2.1 下载
下载地址:https://github.com/WebGoat/WebGoat/releases
webgoat-server就是webgoat;
webwolf是为方便攻击者给配套的一个网站,有些攻击攻击者会需要自己的一个网站来配合,不用不妨碍如果需要则可一起下载。
2.2 安装
下载上一步中jar文件,然后存放到自己想放的目录即可,比如我这里放到/opt目录。
三、使用
3.1 启动
cd /opt java -jar webgoat-server-8.0.0.M14.jar
3.2 登录
默认监听端口8080,待启动完成后,使用浏览器访问:http://127.0.0.1:8080/WebGoat
默认不知道有没有用户,直接去注册一个用户即可。注册完后返回登录,进入界面如下:
部局和dvwa差不多,左侧是菜单右侧是对应的内容,我们点开sql注入漏洞界面如下:
上方的“1,2,3...8”是相关的界面,其中灰色圏背景的是漏洞说明页面,红色圈背景的是存在漏洞的页面。
其他漏洞的部局与此类似。
3.3 webwolf的安装使用
webwolf一样下载,一样用java -jar运行就可以了,启动完后访问:http://127.0.0.1:8081/WebWolf
一样自己注册一个账号登录即可,登录后主界面如下:
