[목차]
1. WebGoat 소개
2. Webgoat 서버 구성 - 윈도우
1. WebGoat 소개
OWASP (Open Web Application Security Project)에서 발표하는
10대 웹 애플리케이션의 취약점을 기반으로 웹 취약점을 테스트하며,
웹 취약점의 기술적인 이해를 돕기 위해 만들어진 웹 애플리케이션
총 12개의 웹 취약점을 다루고 있으며
실습할 수 있는 취약점은 다음과 같다.
취약점 설명
Access Control Flaws 접근 취약점
AJAX Security AJAX 보안 취약점
Authentication Flaws 인증 취약점
Code Quality 코드 취약점
Concurrency 동시성 처리의 취약점
Cross-Site Scripting (XSS) 크로스 사이트 스크립팅 취약점
Improper Error Handling 부적절한 에러 처리 취약점
Injection Flaws 인젝션 취약점
Denial of service 서비스 거부 취약점
Insecure Communication 안전하지 않은 통신 취약점
Insecure Configuration 취약한 환경설정에 의한 취약점
Insecure Storage 안전하지 않은 저장의 취약점
Malicious Execution 악성(파일, 스크립트) 실행
Parameter Tampering 부적절한 매개변수
Session Management Flaws 세션 관리의 취약점
Web Services 웹 서비스 취약점
2. WebGoat 서버 구성 - 윈도우
ㄱ. 선행 작업
WebGoat는 JSP 기반의 웹 애플리케이션이므로
자바가 사전 설치되어 있어야 운영할 수 있다
https://www.oracle.com/java/technologies/javase-downloads.html
* WebGoat 운영 환경
① 자바 1.4.1 이상 버전 설치
② 필요한 경우, 운영 환경을 위한 시스템 환경 변수 설정
=> [제어판]-[시스템 및 보안]-[시스템]-[고급 시스템 설정]-[고급]-[환경 변수]
③ 환경 변수 설정 적용을 위한 시스템 리부팅
ㄴ. 구글 ‘WebGoat download’ 키워드 입력 혹은
http://code.google.com/p/webgoat/downloads/list 내려받기
ㄷ. 내려받은 파일 압축 풀기
압축이 풀린 폴더를 보면
① webgoat.bat
② webgoat_8080.bat
두 종류의 배치(batch) 파일이 들어있는데
처음 것은 기본 80 포트로,
두 번째 것은 8080 포트로 설정이 되어있다.
ㄹ. 프로그램 실행 및 Webgoat 사용하기
호스트 OS와의 충돌을 피하기 위해
8080 포트를 사용하도록 하고
해당 파일을 더블클릭하면
tomcat 서비스가 실행되며
webgoat 사용 준비가 완료된다.
이제 웹 브라우저를 열어
로컬 ip + 해당 포트 번호로 접속하면
webgoat 서버를 사용할 수 있게 된다.
127.0.0.1:8080/webgoat
*기본 ID/PW는 [guest/guest]
*upcoming next
1. xvwa
2. dvwa
3. bwapp
4. pentester
'WEB 진단 > WEB 진단' 카테고리의 다른 글
| 웹 모의해킹 실습 서버 [DVWA] 소개 및 설치 방법 (0) | 2021.02.10 |
|---|---|
| 웹 모의해킹 실습 서버 [DVWA] 소개 및 설치 방법 (0) | 2021.02.10 |
| 웹 모의해킹 실습 서버 [OWASP Juice Shop] 소개 및 설치 방법 (0) | 2021.02.03 |
| 웹 모의해킹 실습 서버 [XVWA] 소개 및 설치 방법 (0) | 2021.02.01 |
| 웹 해킹과 모의해킹 (0) | 2021.01.24 |