WebGoat靶场介绍

WebGoat是一个由OWASP（Open Web Application Security Project）组织开发的应用平台，专门用于进行Web应用程序安全漏洞的实验。它旨在通过模拟各种安全漏洞，帮助用户了解和学习如何识别和防御这些漏洞。WebGoat基于Java开发，提供了超过30个训练课程，涵盖了从基础的跨站点脚本攻击（XSS）到复杂的SQL注入等Web应用安全领域的重要议题

IDEA部署WebGoat

1代码下载

Releases · WebGoat/WebGoat · GitHub

注意是下载source code zip这个源代码。

2环境配置

使用File Open找到代码位置，打开。

项目设置

Maven配置

项目设置：

项目设置，选择JDK17

添加其他jdk

3启动项目

IDEA启动项目：

启动类在main/java/org/server/StartWebGoat.java

也可以双击Shift，输入StartWebGoat.java，打开

在启动类上右键运行main方法即可：

访问地址：

http://127.0.0.1:8080/WebGoat

默认端口号可以在application-webgoat.properties中修改：

4注册用户并登录

点register注册用户，比如用户名和密码都用webgoat

注册好以后会自动登录：

Webwolf的登录地址（默认端口9090）：

http://127.0.0.1:9090/WebWolf/login.html

5连接HSQL数据库（非必要步骤）

webgoat使用的是嵌入式数据库HSQL。此处是一个本地文件数据库，不需要启动，不用通过端口号连接。

注意：项目启动的时候，数据库被锁定，无法访问。

反过来也是一样，工具连接的时候，项目是无法启动的。所以这里先把项目停掉。

在IDEA的右边栏，点击Database，加号+新建DataSource

在列表中找到HSQLDB

连接信息如下：

注意：Path路径是 C:\Users\用户名.webgoat-版本号/

例如：

jdbc:hsqldb:file:C:\Users\15542/.webgoat-2023.4//webgoat

这两个值要以你电脑上的实际情况为准。

/和\不要写错。注意URL里面webgoat前面是//不是/

配置好连接以后可以看到所有的表：

第二步，编写一个bat脚本，内容：

C:\Program Files\Java\jdk-11\bin\java -cp hsqldb-2.7.0.jar org.hsqldb.util.DatabaseManagerSwing

注意：JDK 1.8无法启动2.7的jar包，所以我们使用绝对路径指定使用JDK11启动。

连接字符和上面相同：

jdbc:hsqldb:file:C:\Users\15542/.webgoat-2023.4//webgoat