序言WebGoat中文概述.PDFVIP

OWASP中文项目组      目录  序言：WebGoat 中文概述  3  目标   3  概要   3  未来发展  3  下载    4  发行版  4  WebGoat 5.2 标准版  4  WebGoat 5.2 开发版（位于 Sourceforge）  4  演示解决方案  4  演示视频链接  5  项目贡献者  5  1.  Webgoat用户指南卷首语  6  1.1 版权与许可  6  1.2 商标  6  1.3 贡献者  6  1.4 文档版本历史  6  2.  概述  6  3.  目的  9  4.  必备工具  9  4.1 应用程序审计代理  9  4.2 应用程序爬虫  9  5.  安装  10  5.1 安装 Java 和 Tomcat  10  OWASP中文项目组      5.1.1 安装 Java  10  5.1.2 安装 Tomcat  10  5.2 安装到 Windows 系统  10  5.3 安装到 Linux 系统  10  5.4 安装至 OS X（Tiger 10.4+）系统  10  5.5 安装至 FreeBSD 系统  11  5.6 运行  11  5.7 编译  11  5.8 安装 WAR 文件到已安装的 Tomcat 服务  12  6.  WebGoat入门  12  7.  课程计划  14  8.  基本操作  17  9.  利用代理  19  10. 起航  20  11. 怎样写一个新的 WebGoat lesson  21    OWASP中文项目组      序言：WebGoat 中文概述 WebGoat 是由著名的 OWASP 负责维护的一个漏洞百出的 J2EE Web 应用程序，这些漏洞并非程序中的 bug，而是故意设计用来讲授 Web 应用程序安全课程的。对于每堂课，用户须通过搞定 WebGoat 应用程序中 的一个实际的安全漏洞来验证各自对于该安全问题的理解。举个例子，在其中一个课程中，用户必须使用 SQL 注入来窃取（杜撰的）信用卡号。这个应用程序提供了一个逼真的教学环境，为用户完成课程提供了 有关的线索及代码，从而使用户能更深入地理解该课程。 为什么叫“WebGoat”呢？即使是最好的程序员也会写出产生安全漏洞的代码，因而开发人员不必因 为不懂安全而自卑。他们需要的仅仅是一个“替罪羊”，不是吗？就让这只“山羊”背黑锅吧！ 请参考“WebGoat 用户及安装指南”开始。 目标 在学习和实践 Web 应用程序安全知识时，我们所面临的一大难点是：到哪里去找可以练手的 web 应用 程序呢？显然，明目张胆地扫描在线书店或者网络银行可不是个好主意，小心警察叔叔会找上门来。此外， 安全专业人员经常需要测试某些安全工具，以检查它们的功能是否如厂商所鼓吹的那般，这时他们就需要 一个具有确定漏洞的平台作为活靶子。但是，无论学习 web 测试，还是检查工具的性能，都要求在一个安 全、合法的环境下进行。即使你的意图是好的，但是在未经许可的情况下企图查找安全漏洞也是绝不允许 的。 WebGoat 项目的主要目标很简单，就是为 Web 应用程序安全学习创建一个生动的交互式教学环境。将 来，项目研究小组希望将 WebGoat 发展成为一个安全性基准测试程序平台和一个基于 Java 的蜜罐网站。 概要 WebGoat 是用 Java 语言写成的，因此可以安装到所有带有 Java 虚拟机的平台之上。此外，它还分别 为 Linux、OS X Tiger 和 Windows 系统提供了安装程序。部署该程序后，用户就可以进入课程了，该程序 会自动通过记分卡来跟踪用户的进展。当前提供的训练课程有 30 多个，其中包括： 　 跨站点脚本攻击（XSS） 　 访问控制（Access Cnotrl） 　 线程安全（Thread Safety） 　 操作隐藏字段（Hidden Form Field Manipulation） 　 操纵参数(Parameter Manipulation) 　 弱会话 cookie(Weak Session Cookies) 　 SQL 盲注(Blind SQL Injection) 　 数字型 SQL 注入(Numeric SQL Injection) 　 字符串型 SQL 注入(String SQL Injection) 　 web 服务(Web Services) 　 Open Authentication 失效(Fail Open Authentication) 　 危险的 HTML 注释(Dangers of HTML Comments) 　 ……等等 更多请参考“WebGoat