部署使用WebGoat6網(wǎng)絡(luò)漏洞測(cè)試平臺(tái)

    什么是WebGoat？引用一下OWASP官方介紹：

    WebGoat是OWASP組織研制出的用于進(jìn)行web漏洞實(shí)驗(yàn)的應(yīng)用平臺(tái)，用來(lái)說(shuō)明web應(yīng)用中存在的安全漏洞。WebGoat運(yùn)行在帶有java虛擬機(jī)的平臺(tái)之上，當(dāng)前提供的訓(xùn)練課程有30多個(gè)，其中包括：跨站點(diǎn)腳本***（XSS）、訪問(wèn)控制、線程安全、操作隱藏字段、操縱參數(shù)、弱會(huì)話cookie、SQL盲注、數(shù)字型SQL注入、字符串型SQL注入、web服務(wù)、Open Authentication失效、危險(xiǎn)的HTML注釋等等。WebGoat提供了一系列web安全學(xué)習(xí)的教程，某些課程也給出了視頻演示，指導(dǎo)用戶利用這些漏洞進(jìn)行***。

    WebGoat多年來(lái)一直是版本5.4，今年升級(jí)為版本6。主要是基于新的框架和界面對(duì)各項(xiàng)課程進(jìn)行了重新集成，項(xiàng)目主頁(yè)是http://webgoat.github.io/。

    先來(lái)看一下兩個(gè)版本的界面：

   實(shí)際使用中，新版本不僅界面漂亮，關(guān)鍵是hints、solutions等選項(xiàng)的內(nèi)容更加完善，便于學(xué)習(xí)。使用WebGoat有兩種方法，一是直接下載運(yùn)行包WebGoat-6.0-exec-war.jar，然后：

    java -jar WebGoat-6.0-exec-war.jar

    隨后就可以在本機(jī)瀏覽器里使用了：

    http://localhost:8080/WebGoat

    但是個(gè)人更傾向于另一種方法，就是下載源碼包，通過(guò)maven部署使用。好處是可以完成一些需要修改源代碼的課程，而且不限于本機(jī)運(yùn)行。但全新安裝tomcat、maven、java等必需環(huán)境，而且把參數(shù)設(shè)置好非常麻煩，所以直接在OWASP的Broken Web APP虛擬機(jī)上使用是最方便的，因?yàn)榄h(huán)境都已經(jīng)構(gòu)建好了。具體步驟如下：

    下載得到WebGoat-Master.tar.gz，復(fù)制到/var/www里解壓，得到WebGoat-master項(xiàng)目目錄：

     因?yàn)樘摂M機(jī)啟動(dòng)時(shí)tomcat已經(jīng)運(yùn)行了，所以要先停止服務(wù)，再用mvn啟動(dòng)。將幾個(gè)過(guò)程寫成批處理：

    cat >~/run_webgoat6.sh<<EOF
    /etc/init.d/tomcat6 stop
    cd /var/www/WebGoat-master
    mvn clean tomcat:run-war
    EOF

    這樣，WebGoat5.4和6兩個(gè)版本就是虛擬機(jī)里共存了。開(kāi)機(jī)以后不運(yùn)行run_webgoat6.sh腳本，則啟動(dòng)webgoat5.4，運(yùn)行了以后再?gòu)闹鹘缑孢M(jìn)入就可以play了！