WebGoat

From ICO wiki
Jump to navigationJump to search

Autor: Teet Raudsep, AK31

Info staatus

Valmis.

WebGoat tutvustus

WebGoat program on loodud selleks, et tuvustada ning aidata õppida veebi aplikatsioonide turvalisust. Programm on J2EE baasil loodud ning töötab platvormist sõltumata.

Eelinfo

WebGoat paigaldamiseks on vaja järgnevaid programme:
-p7Zip
-Java -bin ja -jdk


Paigaldamine võtab aega 30min-1h.

Installeerimise juhend VMWare 1.0.10. + Ubuntu 9.10 näitel

Installeerimiseks juhendun leheküljel läbi proovitud materjale.

Käsureal toimetades alustame paigaldust:
1) Paigaldan Java (sun-java6-bin, sun-java6-jdk)

# apt-get-install sun-java6-bin sun-java6-jdk


2) Webgoati lahti pakkimiseks on vaja programmi p7Zip. Kui on installeerimata siis paigaldab kõige pealt selle

# apt-get install p7zip

3) Laeb alla WebGoati programmi ning pakib lahti ja tõstab /usr/local/ kausta. NB jäälgida teie poolt tegelikult allatõmmtavat versiooni ning lahtipakkimisel loodava kausta nimetust.

# wget http://webgoat.googlecode.com/files/WebGoat-OWASP_Standard-5.3_RC1.7z
# /usr/bin/p7zip -d WebGoat-OWASP_Standard-5.3_RC1.7z
# mv WebGoat-5.3_RC1/ /usr/local
# cd /usr/local/WebGoat-5.3_RC1/

4) Nüüd on vaja viia vastavusse "webgoat.sh" faili sisu sinu süsteemiga ja teeb enne muudatuste tegemist varukoopia konfiguratsiooni failist ning muudab "webgoat.sh" fali õigusi.

# cp webgoat.sh webgoat.sh.orig
# chmod +x webgoat.sh
# nano webgoat.sh


Lisada faili peale rida mis sisaldab "CATALINA_HOME" rida "export JAVA_HOME=/usr/lib/jvm/java-6-sun". Samuti kontrollida Java versiooni järgnevatel ridadel.

Järgnevaks installeerime WebScrapi, mis kujutab endast proxit mida on vaja WebCoati tundideks. Lae alla ja installeeri järgnevalt.

# cd /tmp
# wget http://dawes.za.net/rogan/webscarab/webscarab-current.zip
# unzip webscarab-current.zip
# mkdir -p /usr/local/webscarab
# mv webscarab-* /usr/local/webscarab

Võb kasutada installeerimiseks ka seda scripti kuni Webcoat.sh-s java muudatuste tegemiseni : I_Etapp Ja teine osa II_Etapp


Et oleks lihtsam lisa Firefoxi brauserile "FoxyProxy" aplikatsiooni, Firefoxi pluginate leheküljelt.

Peale plugina installatsiooni ja firefoxi taaskäivitamist seadistab FireProxi järgnevalt.


Firefoxi all nurgas tekkinud FoxyProxy ikoonil klik. Avanenud FireProxy aknas tee järgnevad muudatused On the General tab, under Proxy Name enter "WebScarab". On the Proxy Details tab, select Manual Proxy Configuration. Host or IP Address sisesta "127.0.0.1" Port:"8008" URL Patterns tab valikus vali Add New Pattern Valikusse Pattern Name sisesta "WebGoat" Pattern URL valikus sisesta "http://*127.0.0.1/WebGoat/*" (Esimene "*" lubab valiku "guest:guest" kasutamist autentimiseks.)

Vali OK Sulge Proxy Settings Under Mode select Use proxies based on their pre-defined patterns and priorites. Suge FoxyProxy Options.


Nüüd on paras aeg käivitada vajalikud teenused WebGoatis toimetamisks.

Mõtekas on avada lisa "TAB"-id terminalis ja nendesse SUDO-na sisestada esimesse WebScarab-i käivitamiseks (jälgi tegliku webscrabi katalogi adressi):

# java -jar /usr/local/webscarab/webscarab.jar

Ning mõne hetke pärast avaneb Webscrab aken.


Teises aknas käivita WebGoat:

Käivitamisel on kaks võialust

  • käivitada pordis 80 webgoat (start80)
  • käivitada pordis 8080 webgoat (start8080)

Kui kasutatakse teist võimalust siis tuleb brauseris ka pordi number ära näidata ligipääsuks.

# cd /usr/local/WebGoat-5.3_RC1
# ./webgoat.sh start80

või

# ./webgoat.sh start8080

Töö lõpetamiseks käsk

 # ./webgoat stop

WebGoat on valmis kui terminali aknasse tekkib viimaseks reaks midagi sarnast: "INFO: Server startup in 3546 ms" Peale seda hetke on programm valmis käivitamiseks veebi brauseri aknas.

NB! link on tõusutundlik ning seega tähelepanelikult jälgida, et õgesti oleks address sisestatud!

http://guest:guest@127.0.0.1/webgoat/attack

Edasi on sul võimalus hakata õppima kuidas häkitakse veebilehti ning kuidas kaitsta ennast nende vastu.

File:WebGoat.png


NB! Juhin teie tähelepanu ka hoiatusele, et programmi töö ajal on teie arvuti kaitse nõrgndatud ning teie arvuti on ohustatud.


WARNING While running this program, your machine is extremely vulnerable to attack if you are not running on localhost. If tou are NOT running on localhost (default configuration), You should disconnect from the network while using this program.

This program is for educational purposes only. Use of these techniques without permission could lead to job termination, financial liability, and/or criminal penalties.

Kastutatud materjal

Google WebCoat projekti leht
WebGoat

Tõlke aluseks võetud VM installeerimise juhend
OWASP koduleht.