部署使用WebGoat6网络漏洞测试平台
2014-11-12 15:26
543 查看
什么是WebGoat?引用一下OWASP官方介绍:
WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程,某些课程也给出了视频演示,指导用户利用这些漏洞进行攻击。
WebGoat多年来一直是版本5.4,今年升级为版本6。主要是基于新的框架和界面对各项课程进行了重新集成,项目主页是http://webgoat.github.io/。
先来看一下两个版本的界面:
实际使用中,新版本不仅界面漂亮,关键是hints、solutions等选项的内容更加完善,便于学习。使用WebGoat有两种方法,一是直接下载运行包WebGoat-6.0-exec-war.jar,然后:
http://localhost:8080/WebGoat
但是个人更倾向于另一种方法,就是下载源码包,通过maven部署使用。好处是可以完成一些需要修改源代码的课程,而且不限于本机运行。但全新安装tomcat、maven、java等必需环境,而且把参数设置好非常麻烦,所以直接在OWASP的Broken Web APP虚拟机上使用是最方便的,因为环境都已经构建好了。具体步骤如下:
下载得到WebGoat-Master.tar.gz,复制到/var/www里解压,得到WebGoat-master项目目录:
因为虚拟机启动时tomcat已经运行了,所以要先停止服务,再用mvn启动。将几个过程写成批处理:
这样,WebGoat5.4和6两个版本就是虚拟机里共存了。开机以后不运行run_webgoat6.sh脚本,则启动webgoat5.4,运行了以后再从主界面进入就可以play了!
本文出自 “安全小站” 博客,请务必保留此出处http://tankaiha.blog.51cto.com/8553228/1575713
WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程,某些课程也给出了视频演示,指导用户利用这些漏洞进行攻击。
WebGoat多年来一直是版本5.4,今年升级为版本6。主要是基于新的框架和界面对各项课程进行了重新集成,项目主页是http://webgoat.github.io/。
先来看一下两个版本的界面:
实际使用中,新版本不仅界面漂亮,关键是hints、solutions等选项的内容更加完善,便于学习。使用WebGoat有两种方法,一是直接下载运行包WebGoat-6.0-exec-war.jar,然后:
java -jar WebGoat-6.0-exec-war.jar随后就可以在本机浏览器里使用了:
http://localhost:8080/WebGoat
但是个人更倾向于另一种方法,就是下载源码包,通过maven部署使用。好处是可以完成一些需要修改源代码的课程,而且不限于本机运行。但全新安装tomcat、maven、java等必需环境,而且把参数设置好非常麻烦,所以直接在OWASP的Broken Web APP虚拟机上使用是最方便的,因为环境都已经构建好了。具体步骤如下:
下载得到WebGoat-Master.tar.gz,复制到/var/www里解压,得到WebGoat-master项目目录:
因为虚拟机启动时tomcat已经运行了,所以要先停止服务,再用mvn启动。将几个过程写成批处理:
cat >~/run_webgoat6.sh<<EOF /etc/init.d/tomcat6 stop cd /var/www/WebGoat-master mvn clean tomcat:run-war EOF
这样,WebGoat5.4和6两个版本就是虚拟机里共存了。开机以后不运行run_webgoat6.sh脚本,则启动webgoat5.4,运行了以后再从主界面进入就可以play了!
本文出自 “安全小站” 博客,请务必保留此出处http://tankaiha.blog.51cto.com/8553228/1575713
相关文章推荐
- 网络安全:漏洞测试主要平台 BackTrack4+Metasploit+ruby
- 嵌入式 linux以及arm平台上网络设备测试工具iperf交叉编译以及使用
- 第4代白盒测试方法实践之“使用VcTester构造持续集成及每日构建平台”
- 使用漏洞扫描工具评估网络系统安全
- 网络性能测试之netperf的安装使用
- 网络测试利器netperf安装和使用
- 3G网络实际使用测试情况
- 使用SWT开发WEB应用--SmartSWT RIA测试平台发布
- 梅花雨时间控件在asp.net中的使用,平台为2005(注:未在有模板的情形下进行测试)
- 最简单的使用程序进行网络链接测试
- 使用Nmap为你的Windows网络找漏洞的图文分析
- 跨平台开发使用ant部署并测试
- 使用Jpcap进行java平台下的ipv6网络抓包
- 使用测试工具iPerf监控无线网络性能
- 使用Rational Data Architect v6.1构建,测试,部署DB2 SAMPLE数据库
- XNA Game Studio是一套有着强大功能和简单界面的游戏制作平台,游戏开发商和游戏玩家都可以使用这套工具开发针对Windows XP以及Xbox360的游戏,XNA Game Studio分为两种版本,一种是面向初学者的EXPRESS版本,还有一种是面向专业用户的专业版。用户使用EXPRESS版本开发游戏完全免费,并且可以随意在PC上发行,不过用该工具开发的游戏若是在360上网络发行,就需要交纳99美元的年费。
- [引]ASP.NET 移动网页 与 如何:使用仿真程序和浏览器在部署移动 Web 应用程序之前对其进行测试
- 网络性能测试之pathload的安装使用