注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

网易杭州 QA Team

务实 专注 分享 做有态度的QA

 
 
 
 
 

日志

 
 

和李白白一起了解安全测试《webgoat》工具准备篇  

来自李白白   2012-07-06 14:09:04|  分类: 安全测试 |举报 |字号 订阅

  下载LOFTER 我的照片书  |

 

听了应方明的安全测试分享,第一次知道了owasp组织,也第一次知道了webgoat项目。之前的安全测试了解一点,知道一些常见的漏洞以及测试手法,但是缺乏一个系统的训练平台。记得第一次分享SQL注入时的情景,到处找注入网站,尴尬的很。还好,webgoat来了。本博文将从零基础出发,通过webgoat实战平台,和大家一起一步步了解安全测试。
什么是webgoat项目?

WebGoat是由著名的OWASP负责维护的一个漏洞百出的J2EE Web应用程序,这些漏洞并非程序中的bug,而是故意设计用来讲授Web应用程序安全课程的。这个应用程序提供了一个逼真的教学环境,为用户完成课程提供了有关的线索。

对于每堂课,都对应于WebGoat应用程序中的一个实际的安全漏洞,为了能亲身实践如何利用这个漏洞,您首先需要具备该漏洞的有关知识,虽然WebGoat应用程序本身提供了有关的简介,但是很可能需要查找更多的资料才能搞定这个漏洞,所以,它对于激发安全测试人员和开发人员来的学习兴趣和提高安全知识的理解及动手能力方面,都是非常有帮助的。

WebGoat甚至支持在其中加入自己的教程,具体方法可以查看其说明文档

WebGoat中包括的漏洞教程主要有

Cross-site Scripting (XSS)
 Access Control
 Thread Safety
 Hidden Form Field Manipulation
 Parameter Manipulation
 Weak Session Cookies
 Blind SQL Injection
 Numeric SQL Injection
 String SQL Injection
 Web Services
 Fail Open Authentication
 Dangers of HTML Comments

二、安装下载

Webgoat下载地址:http://code.google.com/p/webgoat/downloads/list

2.1安装到Windows系统 

安装Java和Tomcat 
需要注意,从版本5开始,这一步可以省略,因为它们自身带有Java Development Kit和Tomcat 5.5。首先安装Java,您可以从http://java.sun.com/downloads/安装和部署合适的版本,最低版本要求为1.4.1,然后安装Tomcat,您可以从http://tomcat.apache.org/download-55.cgi安装和部署Tomcat。 
1.将WebGoat-OWASP_Standard-5.2.zip解压至合适的目录中。

2.若要启动Tomcat,切换至前面存放解压后的WebGoat的目录,然后双击webgoat.bat即可。   
3.启动浏览器,在地址栏输入http://localhost/WebGoat/attack 。注意,这个链接地址是区分大小写的,务必确保其中使用的是大写字母W和G。

4弹出登录框,帐号和密码都是:guest

和李白白一起了解安全测试《webgoat》工具准备篇 - 网易杭州QA - 网易杭州 QA Team

 

                图2.1

5如果出现此页面说明项目已经启动,可以使用了。

Ps:有需要安装到其他系统上的请单独联系我  


2.2 会用到的工具

2.21Webscarab

   webscarab工具的主要功能:利用代理机制,它可以截获客户端提交至服务器的所有http请求消息,还原http请求消息并以图形化界面显示其内容,并支持对http请求信息进行编辑修改。

原理:webscarab工具采用web代理原理,客户端与web服务器之间的http请求与响应都需要经过webscarab进行转发,webscarab将收到的http请求消息进行分析,并将分析结果图形化显示如下:

和李白白一起了解安全测试《webgoat》工具准备篇 - 网易杭州QA - 网易杭州 QA Team

和李白白一起了解安全测试《webgoat》工具准备篇 - 网易杭州QA - 网易杭州 QA Team

 

下载地址:http://sourceforge.net/projects/owasp/files/WebScarab/

安装说明:软件是基于java开发的,所以安装前,要求你的机器已经安装了Java运行环境

【工具使用】

1、 运行WebScarab,我们选择了get与post,我们只需要get与post请求的http消息进行篡改。

和李白白一起了解安全测试《webgoat》工具准备篇 - 网易杭州QA - 网易杭州 QA Team

 

2、 打开IE浏览器的属性---连接--局域网设置,在代理地址中配置host为127.0.0.1或localhost,port为8008(此为软件件固定监听端口) 

3、 随便打开测试网页,如:baidu.com Webscarab就会拦截到请求,点击“Accept changes”进行提交,操作完成。


至此,我们已经走完了万里长征的第一步,请继续紧跟李白白,一步步认知安全测试。


  评论这张
 
阅读(897)| 评论(3)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017