資安管理 WebGoat (1)

基本介紹

教學目標

初步了解 WebGoat 平台有系統學習網站漏洞,以利進行後續資安管理。

重點概念

首先 WebGoat 平台主要是由 OWASP 研究開發的弱點測試平台,主要是以 J2EE 進行開發的網站,其中設計了大量的網站漏洞,同時一步一步引導使用者如何利用這些漏洞進行攻擊的方式,以利我們學習資安管理。

接著請先從 OWASP WebGoat 專案官方網站,下載「webgoat-container-7.1-exec.jar」檔案,下一步執行下述指令就能開啟 WebGoat 平台。

1
$ java -jar webgoat-container-7.1-exec.jar

再來開啟瀏覽器輸入「127.0.0.1:8080/WebGoat」網址,下一步輸入使用者帳號和密碼為「webgoat」進行登入 WebGoat 平台,此時畫面的右方為課程分類,中間為課程內容主要有顯示程式碼、解決方式、目標與目的和提示等功能。左方為 HTTP 請求的資料主要顯示 Cookies 和參數。

最後課程分類主要以攻擊方式的類別為主,總共有十六個類別,每個類別還有許多不同的攻擊手法,分別為:

  1. Access Control Flaws
  2. AJAX Security
  3. Authentication Flaws
  4. Buffer Overflows
  5. Code Quality
  6. Concurrency
  7. Cross-Site Scripting (XSS)
  8. Improper Error Handling
  9. Injection Flaws
  10. Denial of Service
  11. Insecure Communication
  12. Insecure Storage
  13. Malicious Execution
  14. Parameter Tampering
  15. Session Management Flaws
  16. Web Services

總結我們可以透過 WebGoat 平台將能夠有系統的學習利用網站漏洞進行攻擊的手法,唯有清楚知道如何駭客如何攻擊網站,才能夠進行網站防守,同時目前許多企業的解決方案皆還是以 J2EE 平台為主,此時我們要能夠因應不同的攻擊手法採取適當的設定,以利達到適當的資安管理。

相關資源