51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 4214|回复: 1
打印 上一主题 下一主题

开源安全项目 – WebGoat网络肥羊

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2010-3-8 15:29:47 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
转自:http://www.tektalk.org/2010/01/3 ... %E8%82%A5%E7%BE%8A/

WebGoat是 OWASP旗下的开源项目中比较著名的一个,有高人翻译为“待宰羔羊”了,确实深得其意。该软件就是被人们鱼肉宰割的。系统包括了一个基于的TomCat server的含有人为漏洞J2EE Web应用。人们可以通过攻击这些漏洞学习和理解Web attack的一些基本概念,让诸多菜鸟也体验一下黑客的乐趣,最重要的是很安全,不触犯法律。

image

















WebGoat主界面大体如上图,左侧是待选取的各种类型的攻击实验课程,中间是实验区,上部工具条是帮助系统。

WebGoat涵盖了下列的攻击类型,主要的Web漏洞都照顾到了:

* Cross-site Scripting (XSS)
* Access Control
* Thread Safety
* Hidden Form Field Manipulation
* Parameter Manipulation
* Weak Session Cookies
* Blind SQL Injection

* Numeric SQL Injection
* String SQL Injection
* Web Services
* Fail Open Authentication
* Dangers of HTML Comments
* …

最让人喜欢的还是其人性化的实验帮助系统。

1.如果学习者无法完成一个攻击题目,则可以点击“hints”,系统会给出提示。如果仍然完不成则可以继续多次要求hint。

2.若是还搞不定可以点击“Show Solution”,此时系统会给出图文并茂的完整的答案以及攻击的详细步骤。

3.对于头脑仍然不灵光者,系统给出了link,可以download包含完整攻击步骤的视频。

4.再完不成就建议检查一下脑袋是否被x踢过:-)

OWASP也有独立项目,基于ModSecurity为WebGoat打个Virtual patch。网络扫描设备也可以用WebGoat做实验,看看能检查出多少漏洞。

总之,WebGoat是傻瓜型学习工具,只要会玩游戏者几分钟内即可上手,可以在各个级别的网络安全培训中直接使用,也是一个造福人类的好项目。

最后需要大家注意的是Webgoat作者的真挚的提醒:

1.不要把学到的技术用在真实的网络上面实验,你很可能被抓获。

2.不要把webgoat在你的公网IP上面启动,这种带有多种漏洞的系统,很容易被攻陷。

叶子感言:老外真的很善良。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

该用户从未签到

2#
 楼主| 发表于 2010-3-8 15:30:56 | 只看该作者
现在web安全很热,可以通过这个工具学习下常见的web攻击模式
回复 支持 反对

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-11-22 22:39 , Processed in 0.073081 second(s), 27 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表