1. 下载和解压
WebGoat-5.4-OWASP_Standard_Win32.zip下载链接:https://pan.quark.cn/s/bd464823ef9a- 下载完直接解压到你电脑的任意文件夹,比如扔到
D:\WebGoat这种路径短的目录(避免中文路径)。
2. 运行环境准备
-
这个版本是老古董了,需要 Java 1.6 或 1.7(新版Java会报错)。
- 如果电脑没装Java,去Oracle官网下个老版本(比如Java 7),安装时一路下一步就行。
- 装完打开命令行(Win+R输入
cmd),输java -version确认版本是不是1.6或1.7。
3. 启动WebGoat
- 进解压后的文件夹,找到
webgoat.bat(Windows批处理文件),直接双击运行。 - 会弹出一个黑窗口,等它刷完日志,最后看到类似
Started HttpServer on port 8080就说明启动了。
4. 打开浏览器访问
-
打开浏览器(IE、Firefox都行,别用太新的Chrome可能会兼容问题)。
-
地址栏输入:
http://localhost:8080/WebGoat,回车。 -
看到登录页面就成功了!默认账号:
- 用户名:
guest - 密码:
guest
- 用户名:
5. 开始玩漏洞练习
- 登录后左侧是课程列表,比如SQL注入、XSS这些,点进去按提示操作。
- 每个课程有任务和答案提示,自己先尝试,实在不会再看答案(别硬磕)。
6. 关闭WebGoat
- 用完后回到黑窗口,按
Ctrl + C关掉服务(别直接点叉,可能后台没退出)。
常见问题
- 启动报错:大概率是Java版本不对,换Java 6或7。
- 8080端口占用:改配置文件里的端口(找解压目录下的
webgoat.properties文件,改port=8080这一行)。 - 页面打不开:检查黑窗口是否启动成功,或者换浏览器试试。
