安全测试——WebGoat安装
一、WebGoat介绍
WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程,某些课程也给出了视频演示,指导用户利用这些漏洞进行攻击。
二、文件夹展示
WebGoat uses the Apache Tomcat server. It is configured to run on localhost although this can be easily changed.
三、JDK的安装与环境变量的配置
1.JDK是java开发工具集(JRE+Java开发工具),软件开发者需进行JDK的安装。JRE是指java运行环境(虚拟机+核心类库)。值得注意的是:JDK 的目录中包含JRE,安装JDK时会自动进行JRE的安装,无需另外安装JRE。
jdk的安装: 
2.JDK环境变量的配置
1)右键我的电脑——属性——高级系统设置——环境变量。
2)在系统变量中,选择编辑,设置变量名为JAVA_HOME,变量值为JDK的文件路径(注:JDK的安装路径不能有中文,不能有空格)
3)新建CLASS_PATH,变量值:.;JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar;添加PATH变量,变量值:%JAVA_HOME%\bin;%JAVA_HOME%\jre\bin
3.打开cmd,输入javac,java-version,查看是否安装成功。
四、Tomcat的安装与配置
WebGoat目录中自带了压缩版的tomcat,直接在计算机的环境变量中配置即可。
1.分别新建用户变量,变量名为CATALINA_BASE,CATALINA_HOME,变量值均为tomcat在本机中的路径。
2.在系统变量PATH中添加:%CATALINA_HOME\lib;%CATALINA_HOME%\bin;
3.打开cmd,进入tomcat所在的bin目录后,输入startup.bat
此时tomcat应该正常启动,且没有出现闪退现象。
第一次运行startup.bat时并不顺利,于是百度,检查环境变量,多次运行。。。最终检查出问题归结于仔细看cmd中的信息,其中有一行提示信息address is already in use:JVM 80;于是进入WebGoat文件夹中的tomcat\conf,以记事本方式打开server.xml文件,查看tomcat的端口号;我的打开竟然是是80端口。。,,于是将端口号改为8080,可以正常显示了
4.在浏览器中输入http://localhost:8080,查看是否正常显示。
五、运行webgoat
在浏览器中输入输入http://localhost:8080/WebGoat/attack,此时会弹出身份验证,用户名和密码均为“guest”,登录成功之后就可以参加webgoat课程的学习啦~~~
登录界面:
登录成功界面:
至此,WebGoat安装完成。
OWASP CHINA
WebGoat用户指南beta.2
WebGoat中文手册V5.4
参考