一、說明
1.1 背景說明
之前只用過dvwa,聽說WebGoat也是類似的平台后,想裝來試試有沒有什么異同。
看了下載文件,和網上官方的、非官方的安裝教程,感覺很多都對不上;
最后發現WebGoat 8是幾天前才發布的,網上官方的、非官方的安裝教程都是針對的WebGoat 7或更前面的版本,所以這里根據自己的步驟整理了一篇教程。
(應該是因為webgoat8是使用spring boot框架開發的而之前的版本不是)
1.2 安裝前置條件說明
我們這里選擇WebGoat的jar版本,由於WebGoat 8的jar文件已自帶了tomcat和數據庫,所以不需要再另外安裝tomcat和mysql這種東西,只需要安裝jdk用於運行jar文件即可。
由於WebGoat 8使用jdk 1.8編譯所以我們也需要安裝jdk 1.8版本;jdk安裝過程不再輟述,如果需要,可參考鏈接。
二、安裝
2.1 下載
下載地址:https://github.com/WebGoat/WebGoat/releases
webgoat-server就是webgoat。
webwolf是為方便攻擊者給配套的一個網站,有些情況攻擊者會需要自己的一個網站來配合,比如你需要遠程包含一個文件等;覺得需要則可一起下載。
2.2 安裝
下載上一步中jar文件,然后存放到自己想放的目錄即可,比如我這里放到/opt目錄。
三、使用
3.1 啟動
cd /opt java -jar webgoat-server-8.0.0.M14.jar
默認監聽127.0.0.10:8080地址,如果想修改ip和端口可在啟動時指定相應參數,如:
java -jar webgoat-server-8.0.0.M14.jar --server.port=8000 --server.address=0.0.0.0
3.2 登錄
默認監聽端口8080,待啟動完成后,使用瀏覽器訪問:http://127.0.0.1:8080/WebGoat
有沒有默認用戶不知道,自己直接去注冊一個用戶即可。注冊完后返回登錄,進入界面如下:
部局和dvwa差不多,左側是菜單右側是對應的內容,我們點開sql注入漏洞界面如下:
上方的“1,2,3...8”是相關的界面,其中灰色圏背景的是漏洞說明頁面,紅色圈背景的是存在漏洞的頁面。其他漏洞的布局與此類似。
3.3 webwolf的安裝使用
webwolf一樣下載,一樣用java -jar運行就可以了,啟動完后訪問(似乎新版改成了9090端口):http://127.0.0.1:8081/WebWolf
一樣自己注冊一個賬號登錄即可,登錄后主界面如下:
