开源安全项目 – WebGoat网络肥羊

作者 appleleaf | 2010-01-30 00:20 | 类型网络安全, 行业动感 | 9条用户评论 »

分享到：新浪微博腾讯微信开心人人 Live Digg FB Twitter

WebGoat是OWASP旗下的开源项目中比较著名的一个，有高人翻译为“待宰羔羊”了，确实深得其意。该软件就是被人们鱼肉宰割的。系统包括了一个基于的TomCat server的含有人为漏洞J2EE Web应用。人们可以通过攻击这些漏洞学习和理解Web attack的一些基本概念，让诸多菜鸟也体验一下黑客的乐趣，最重要的是很安全，不触犯法律。

WebGoat主界面大体如上图，左侧是待选取的各种类型的攻击实验课程，中间是实验区，上部工具条是帮助系统。

WebGoat涵盖了下列的攻击类型，主要的Web漏洞都照顾到了：

* Cross-site Scripting (XSS)
* Access Control
* Thread Safety
* Hidden Form Field Manipulation
* Parameter Manipulation
* Weak Session Cookies
* Blind SQL Injection

* Numeric SQL Injection
* String SQL Injection
* Web Services
* Fail Open Authentication
* Dangers of HTML Comments
* …

最让人喜欢的还是其人性化的实验帮助系统。

1.如果学习者无法完成一个攻击题目，则可以点击“hints”，系统会给出提示。如果仍然完不成则可以继续多次要求hint。

2.若是还搞不定可以点击“Show Solution”，此时系统会给出图文并茂的完整的答案以及攻击的详细步骤。

3.对于头脑仍然不灵光者，系统给出了link，可以download包含完整攻击步骤的视频。

4.再完不成就建议检查一下脑袋是否被x踢过:-)

OWASP也有独立项目，基于ModSecurity为WebGoat打个Virtual patch。网络扫描设备也可以用WebGoat做实验，看看能检查出多少漏洞。

总之，WebGoat是傻瓜型学习工具，只要会玩游戏者几分钟内即可上手，可以在各个级别的网络安全培训中直接使用，也是一个造福人类的好项目。

最后需要大家注意的是Webgoat作者的真挚的提醒：

1.不要把学到的技术用在真实的网络上面实验，你很可能被抓获。

2.不要把webgoat在你的公网IP上面启动，这种带有多种漏洞的系统，很容易被攻陷。

叶子感言：老外真的很善良。

(8个打分，平均：5.00 / 5)

工具箱
本文链接 | | 打印此页 | 9条用户评论 »

雁过留声

“开源安全项目 – WebGoat网络肥羊”有9个回复

silasoni 于 2010-01-30 9:59 上午

这太好了满分
chunhui_true 于 2010-01-31 12:43 上午

赞老外就是有创意。呼唤OSgoat!!!
bajiao 于 2010-01-31 2:00 上午

老外很精细！赞
Wiki多 于 2010-01-31 7:07 下午

很赞的教程
hacknone 于 2010-02-01 7:25 上午

赞楼主，写的很好！

另外，好多次感受到老外做事严谨的风格！
appleleaf 于 2010-02-01 5:51 下午

对于老外的敬业精神以及对于问题的细致理解，我也有同感，尤其是看外国同行的著作。
路人2 于 2010-02-02 2:07 上午

对于老外的敬业精神以及对于问题的细致理解，我也有同感，尤其是看外国同行的著作。
——————————————-
其实国内的也有一些很经典的教材和译著，Linux行业的毛的情景分析、赵的内核完全剖析，TCPIP红宝书的译者、台湾的侯捷C++/MFC系列书籍、潘爱民等还有很多计算机基础书籍的作者译者，都很精益求精的。
james 于 2010-02-02 2:35 上午

>其实国内的也有一些很经典的教材和译著，Linux行业的毛的情景分析、

没错.不过太少太少.
appleleaf 于 2010-02-02 5:53 下午

“其实国内的也有一些很经典的教材和译著，Linux行业的毛的情景分析、赵的内核完全剖析，TCPIP红宝书的译者、台湾的侯捷C++/MFC系列书籍、潘爱民等还有很多计算机基础书籍的作者译者，都很精益求精的。”
呵呵，这些书我都有，也就是这些了。

最新用户评论

最新文章

分类

开源安全项目 – WebGoat网络肥羊

雁过留声