Dobrý den, weboví vývojáři! Dnes budeme diskutovat o super užitečné aplikaci, která vás naučí lekce zabezpečení webových aplikací. Pozdravte WebGoat , záměrně nezabezpečená webová aplikace vyvinutý společností OWASP , se záměrem naučit, jak opravit běžné chyby webových aplikací v reálném čase pomocí praktických cvičení. Tato aplikace může být docela užitečná pro ty, kteří se chtějí dozvědět o zabezpečení aplikací a technikách penetračního testování.
Upozornění: WebGoat je ČISTĚ PRO VZDĚLÁVACÍ ÚČELY . Učiní váš systém extrémně zranitelným vůči útočníkům. Takže trvám na tom, abyste jej používali ve virtuálním počítači ve vaší místní síti. Nepřipojujte svůj testovací stroj k internetu. Byli jste varováni!
Jak nasadit WebGoat
WebGoat lze nasadit buď pomocí Dockeru, nebo jako samostatnou aplikaci. Protože je to čistě pro výukové a vzdělávací účely, raději jej používám v Dockeru.
Nainstalujte Webgoat pomocí Dockeru
Pokud jste Docker ještě nenainstalovali, použijte následující odkazy.
- Jak nainstalovat Docker v CentOS
- Jak nainstalovat Docker v Ubuntu
Po instalaci Dockeru spusťte následující příkaz k nasazení WebGoat.
$ docker run -it -p 127.0.0.1:80:8888 -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 -e TZ=Asia/Kolkata webgoat/goat2.wolf:v8. /před>Ve výše uvedeném příkazu nahraďte časové pásmo svým vlastním.
Tento příkaz stáhne nejnovější obrázek dokovacího zařízení WebGoat a spustí instance WebGoat a webwolf během několika minut. Jakmile to začne, uvidíte výstup podobný níže.
[...]2017-12-05 11:22:50,132 INFO - FrameworkServlet 'mvc-dispatcher':inicializace dokončena za 533 ms2017-12-05 11:22:50,171 INFO - Inicializace hlavního webgoat servletu-12-201 05 11:22:50,173 INFO – Přejděte na http://localhost:8080/WebGoat a přejeme hodně štěstí! 5. prosince 2017 11:22:50 org.apache.coyote.http11.Http11Protocol startINFO:Starting ProtocolHandler ["http-bio-8080"]Po spuštění obrázku dockeru získáte přístup ke vstupní stránce, rozhraní WebGolf a WebWolf na následujících adresách URL.
- Vstupní stránka –
http://localhost - Panel WebGoat –
http://localhost:8080/WebGoat - Rozhraní WebWolf –
http://localhost:9090/WebWolf
Nainstalujte Webgoat jako samostatnou aplikaci
Ujistěte se, že jste nainstalovali Java . Poté si ze stránky vydání stáhněte nejnovější verzi WebGoat .
Nakonec spusťte WebGoat, jak je znázorněno níže.
$ java -Dfile.encoding=UTF-8 -jar webgoat-server-8.2.2.jar [--server.port=8080] [--server.address=localhost] [--hsqldb.port=9001 ]$ java -Dfile.encoding=UTF-8 -jar webwolf-8.2.2.jar [--server.port=9090] [--server.address=localhost] [--hsqldb.port=9001]
Nyní je čas opravit zranitelnosti. Jak jsem již zmínil, odpojte internet, než jej začnete používat.
Jak opravit chyby webových aplikací v reálném čase pomocí WebGoat
Otevřete webový prohlížeč a přejděte na http://localhost:8080/WebGoat nebo http://IP-adresa:8080/WebGoat . Na následující obrazovce uvidíte.
Přihlaste se pomocí:webgoat/webgoat . Toto je administrátorské přihlášení. Můžete také použít normální uživatelský účet:host/host .
Nyní se dostanete do přehledové sekce WebGoat, kde najdete různé pokyny, jak pracovat s WebGoat při opravě běžných nedostatků a zranitelností webové aplikace.
Jak vidíte, v levém podokně je mnoho kategorií lekcí. Kliknutím na kategorii zobrazíte zahrnuté lekce.
Dovolte mi například vybrat Chyby vstřikování -> Příkazové vkládání plán lekce.
Jak vidíte, pro vybranou lekci je 5 záložek.
- Zobrazit zdroj – Zobrazí se základní zdrojový kód Java.
- Zobrazit řešení - Zobrazí se kompletní řešení vybrané lekce.
- Zobrazit plán - Zobrazí se cíle a cíle lekce.
- Zobrazit tipy - Zobrazí se technické rady k vyřešení lekce.
- Restartovat lekci - Pokud chcete lekci znovu spustit, můžete použít tento odkaz.
Klikněte na každou lekci a pokuste se lekci vyřešit a v případě potřeby použijte rady. Pokud nemůžete lekci vyřešit pomocí tipů, podívejte se na řešení pro úplné podrobnosti.