WebGoat
WebGoat 是什么?
WebGoat 是 OWASP 组织研制出的用于进行web漏洞实验的靶场程序,用来说明web应用中存在的安全漏洞。目前WebGoat提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。
WebWolf
WebWolf 是什么?
只有当课程指定你可以使用WebWolf时,你才需要它。在很多课程中,你可以使用WebGoat而不启动WebWolf。如果你需要用WebWolf做练习,请确保它与WebGoat一起运行。你可以使用WebWolf的课程会有以下图标(在作业中右上方)。
即使图标出现了,你也没有义务使用WebWolf,你也可以使用任何你喜欢的拦截工具。(netcat等)
WebWolf是一个独立的网络应用程序,它模拟了攻击者的机器。它使我们有可能明确区分被攻击的网站上发生的事情和你作为一个 "攻击者 "需要做的行动。WebWolf是在几个章节后会用到,在这些章节上,我们收到的反馈是没有明确区分什么是 "攻击者 "角色的一部分,什么是网站上的 "用户 "角色的一部分。以下项目是WebWolf支持的:
- 托管一个文件
- 接收电子邮件
- 传入请求的登录页
WebWolf作为一个单独的网络应用程序运行。如果你使用的是Docker-compose文件,你可以直接将浏览器指向这里来打开WebWolf。如果你想使用独立的版本,你需要下载jar文件并启动它。
java -jar webwolf-<<version>>.jar [--server.port=9090] [--server.address=localhost]
默认情况下,WebWolf在9090端口启动,用--server.port你可以指定一个不同的端口。使用server.address,你可以将它绑定到一个不同的地址(默认为localhost)。
注意:如果你将WebGoat作为独立的应用程序启动,你也需要将WebWolf作为独立的应用程序启动。
这将在9090端口启动该应用程序,点击这里打开WebWolf。你需要做的第一件事是用你在WebGoat上注册的用户登录。
