Как установить средство для обучению пентеста и защите вэб приложений Webgoat на Ubuntu

WebGoat — сознательно небезопасное, веб-приложение Java, разработанное для единственной цели — преподавать уроки безопасности веб-приложения.

Официально утвержденная цель состоит в том, чтобы позволить разработчикам протестировать уязвимости, обычно находимые в Java-приложениях, которые используют общие и популярные компоненты с открытым исходным кодом.

Другими словами, как взломать веб-приложения Java.

Это руководство показывает, как установить его на любой недавней версии Ubuntu.

WebGoat основано на OWASP, Open Web Application Security Project, который в свою очередб обладает серией уроков, которые преподают различные меры безопасности приложений и методы тестирования на проникновение.

WebGoat — JAVA-приложение, таким образом, у вас должен быть установлен Java JRE.

Чтобы установить и проверить, что Java JRE установлен на вашем выпуске Ubuntu, запустите терминал оболочки и введите следующие команды:

# apt-get install default-jre

 Проверим версию:

# java -version   java version "1.7.0_95" OpenJDK Runtime Environment (IcedTea 2.6.4) (7u95-2.6.4-0ubuntu0.15.10.1) OpenJDK 64-Bit Server VM (build 24.95-b01, mixed mode)

Затем загрузите выполняемый файл:

# wget https://s3.amazonaws.com/webgoat-war/webgoat-container-7.0-SNAPSHOT-war-exec.jar

После этого вы можете запустить его, используя следующую команду:

# java -jar webgoat-container-7.0-SNAPSHOT-war-exec.jar 

Наконец, получите доступ к веб-интерфейсу, переместившись по адрессу http://localhost:8000/WebGoat.

Вы должны получить экран входа в систему точно такой же, как показано на рисунке ниже.

Вы можете войти в систему как гость или привилегированный пользователь, использующий учетную запись webgoat.

Вход в систему предоставляет вам доступ к набору уроков, который позволяет вам практиковать pentesting в живой системе, в которой у вас есть разрешение этим заниматься.

Здесь, например показан урок DOM инъекции.

WebGoat — холодный инструмент, но не используйте его, чтобы  научиться при помощи него взламывать системы, которыми вы не владеете.

Его уроки должны познакомить вас со способами, которыми  «blackhat» могут использовать, чтобы поставить под угрозу вашу систему.

Если вы знаете секреты их ремесла, вы находитесь в лучшей позиции, чтобы защитить свои системы.

Хорошего пентеста! Узнайте больше о WebGoat на домашней страницы проекта.