开源安全项目 – WebGoat网络肥羊
作者 appleleaf | 2010-01-30 00:20 | 类型 网络安全, 行业动感 | 9条用户评论 »
WebGoat是OWASP旗下的开源项目中比较著名的一个,有高人翻译为“待宰羔羊”了,确实深得其意。该软件就是被人们鱼肉宰割的。系统包括了一个基于的TomCat server的含有人为漏洞J2EE Web应用。人们可以通过攻击这些漏洞学习和理解Web attack的一些基本概念,让诸多菜鸟也体验一下黑客的乐趣,最重要的是很安全,不触犯法律。
WebGoat涵盖了下列的攻击类型,主要的Web漏洞都照顾到了: * Cross-site Scripting (XSS) * Numeric SQL Injection 最让人喜欢的还是其人性化的实验帮助系统。 1.如果学习者无法完成一个攻击题目,则可以点击“hints”,系统会给出提示。如果仍然完不成则可以继续多次要求hint。 2.若是还搞不定可以点击“Show Solution”,此时系统会给出图文并茂的完整的答案以及攻击的详细步骤。 3.对于头脑仍然不灵光者,系统给出了link,可以download包含完整攻击步骤的视频。 4.再完不成就建议检查一下脑袋是否被x踢过:-) OWASP也有独立项目,基于ModSecurity为WebGoat打个Virtual patch。网络扫描设备也可以用WebGoat做实验,看看能检查出多少漏洞。 总之,WebGoat是傻瓜型学习工具,只要会玩游戏者几分钟内即可上手,可以在各个级别的网络安全培训中直接使用,也是一个造福人类的好项目。 最后需要大家注意的是Webgoat作者的真挚的提醒: 1.不要把学到的技术用在真实的网络上面实验,你很可能被抓获。 2.不要把webgoat在你的公网IP上面启动,这种带有多种漏洞的系统,很容易被攻陷。 叶子感言:老外真的很善良。 | |
雁过留声
“开源安全项目 – WebGoat网络肥羊”有9个回复
这太好了 满分
赞 老外就是有创意。呼唤OSgoat!!!
老外很精细!赞
很赞的教程
赞楼主,写的很好!
另外,好多次感受到老外做事严谨的风格!
对于老外的敬业精神以及对于问题的细致理解,我也有同感,尤其是看外国同行的著作。
对于老外的敬业精神以及对于问题的细致理解,我也有同感,尤其是看外国同行的著作。
——————————————-
其实国内的也有一些很经典的教材和译著,Linux行业的毛的情景分析、赵的内核完全剖析,TCPIP红宝书的译者、台湾的侯捷C++/MFC系列书籍、潘爱民等还有很多计算机基础书籍的作者译者,都很精益求精的。
>其实国内的也有一些很经典的教材和译著,Linux行业的毛的情景分析、
没错.不过太少太少.
“其实国内的也有一些很经典的教材和译著,Linux行业的毛的情景分析、赵的内核完全剖析,TCPIP红宝书的译者、台湾的侯捷C++/MFC系列书籍、潘爱民等还有很多计算机基础书籍的作者译者,都很精益求精的。”
呵呵,这些书我都有,也就是这些了。