iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 13
0

在介紹WebGoat的第一天,我們先來介紹如何安裝這套軟體,目前這套軟體在Windows、Linux及OS X上都可以執行。

第一步,先確認電腦上有安裝JRE。

第二步,到官方github上下載最新版WebGoat(網址:https://github.com/WebGoat/WebGoat/releases

https://ithelp.ithome.com.tw/upload/images/20181029/20107304zhVKHZ81ns.png

第三步,如果你安裝的JRE是第8版,則使用下面的指令來啟動WebGoat,其中Port跟Server網址都可以在這邊作設定,如果不特別設定,Port預設就是8080,而Server網址則是localhost。

java -jar webgoat-server-8.0.0.VERSION.jar [--server.port=8080] [--server.address=localhost]

如果你安裝的JRE是第9或以上的版本,根據網路上苦主經驗,直接使用上述指令會出現錯誤,但也不用擔心,只要在執行的時候使用下面的語法就可以了:

java --add-modules java.xml.bind -jar webgoat-server-8.0.0.VERSION.jar

上面兩項指令中的VERSION部分是依看你下載的版本來改字串,例如你如果下載的是目前最新的版本v8.0.0.M21,那你的指令就要寫成:

java --add-modules java.xml.bind -jar webgoat-server-8.0.0.M21.jar

我的電腦安裝的是JRE 8,而輸入指令後就會看到畫面如下,告訴你網頁伺服器已經跑起來了!
https://ithelp.ithome.com.tw/upload/images/20181029/201073044NQszhltuX.png

第四步,使用瀏覽器,輸入剛剛你所設定的Port及Server網址,如果沒有特別設定的話網址就會長這樣:http://localhost:8080/WebGoat ,接著就可以看到WebGoat的畫面出現啦!

https://ithelp.ithome.com.tw/upload/images/20181029/2010730419oRIZQ7Em.png

由於WebGoat是專門讓人來練習漏洞的,所以裡面包含的都是漏洞百出的網頁,因此官方也建議在使用WebGoat練習時,最好是把網路中斷,以免有心人士利用,讓使用者反而變成受害者。

另外,WebGoat只供教育使用,在這邊學到的任何技術都不能拿去隨便測試外面的網頁,以免觸法,就算被抓時跟執法單位說你只是在研究也是沒用的,因為每個駭客被抓的時候一開始也都是這樣說的。

以上介紹如何安裝WebGoat,步驟算是簡單,大家也趕快裝一下吧~

參考資料:
[1] https://github.com/WebGoat/WebGoat/issues/467
[2] https://github.com/WebGoat/WebGoat/blob/develop/README.MD
[3] https://github.com/WebGoat/WebGoat/releases


上一篇
[Day 12] 網頁漏洞長的是圓是方?
下一篇
[Day 14] 來玩WebGoat!之2:HTTP Method
系列文
資安補漏洞,越補越大洞30

2 則留言

0
Sergeyau
iT邦研究生 3 級 ‧ 2018-11-02 04:06:32

WebGoat也是我們OWASP的project喔:)

WLLO iT邦新手 5 級‧ 2019-01-12 00:18:43 檢舉

抱歉現在才發現您有在這裡留言ORZ
OWASP真的是人類資安發展史上的一大助力啊~~

0
williamyeh
iT邦新手 5 級 ‧ 2018-12-04 12:14:28

問:用 Docker 版的 WebGoat 來玩,會不會比較安全呢?

◉ WebGoat 官方有出 Docker 版: https://github.com/WebGoat/WebGoat#2-run-using-docker

WLLO iT邦新手 5 級‧ 2019-01-12 00:17:12 檢舉

您好,抱歉一直到剛剛才發現您的留言ORZ
相較於直接安裝在作業系統中,如果利用Docker來玩WebGoat
若因為安裝WebGoat後不幸導致遭利用時對於作業系統本身的影響會比較小
但目前網路上也有一些PoC證實docker本身也是有資安疑慮在的
因此建議使用docker時還是要考量被攻擊的可能性
並且定時進行更新
以上提供給您參考~

另外您的留言激起了我去研究docker安全性的念頭,非常感謝!

我要留言

立即登入留言