A WebGoat egy java-ban írt web applikáció, kifejezetten sérülékenység vizsgálatra etikus hekkereknek. Segítségével feltárható és megismerhető pár sebezhetőség és kihasználásuknak a módja. Pl.

  • Cross-site scripting (XSS)
  • Access Control
  • Thread Safety
  • Hidden Form Field Manipulation
  • Parameter Manipulation
  • Weak Session Cookies
  • Blind SQL Injection
  • Numeric SQL Injection
  • String SQL Injection
  • Web Services
  • Fail Open Authentication
  • Dangers of HTML Comments
  • … stb

Telepítés

Vegyünk egy teljesen alap telepítésű Debian 8.3-at. Semmi extra, maximum egy openssh, hogy ssh-n keresztül hozzáférjünk.

# apt-get install openssh-server

A WebGoat-nak semmi másra nincs szüksége, mint egy Java JRE futtató környezetre, telepítsük tehát és ellenőrizzük.

# apt-get install default-jre
...
# java -version
java version "1.7.0_95"
OpenJDK Runtime Environment (IcedTea 2.6.4) (7u95-2.6.4-1~deb8u1)
OpenJDK Client VM (build 24.95-b01, mixed mode, sharing)

Készítsünk neki egy tetszés szerinti mappát.

# mkdir webgoat

Most töltsük le a legfrissebb WebGoat-ot, ami jelenleg a 7.0.1 az elkészített mappába.

# cd webgoat
# wget https://github.com/WebGoat/WebGoat/releases/download/7.0.1/webgoat-container-7.0.1-war-exec.jar

Ezek után nincs más hátra mint elindítani.

# java -jar webgoat-container-7.0.1-war-exec.jar

Ha mindent jól csináltunk, akkor a böngészőnkbe beírva a http://<ip cím>:8080/WebGoat címet már láthatjuk is a kezdő oldalát.

webgoat_login

Illetve belépés után a főképernyőt.

webgoat_main