WebGoat é uma aplicação web J2EE mantida pela OWASP criada para ensinar lições de segurança sobre aplicações WEB, em cada lição o usuário tem que mostrar um conheçimento sobre o problema de segurança apresentado e explorar essa vulnerabilidade para terminar a lição. Por exemplo, em uma das lições o usuário deve explorar uma falha de SQL Injection para roubar números de cartões de crédito, a aplicação é um ambiente realista de ensino, e mostra dicas para o usuário completar a lição.

O WebGoat é escrito em linguagem JAVA e portanto Multi-Plataforma, depois de instalado o usuário pode completar as lições e acompanhar o seu progresso pelo ScoreCard, existem atualmente mais de 30 de lições, inclusive sobre as seguintes questões:

  • Cross-site Scripting (XSS)
  • Controle de Acesso
  • Thread Safety
  • Manipulação de Campos Ocultos
  • Manipulação de Paramêtros
  • Weak Session Cookies
  • Blind SQL Injection
  • Numeric SQL Injection
  • String SQL Injection
  • Web Services
  • Fail Open Authentication
  • Comentários HTML perigosos
  • ... e muito mais!

Obs1: Quando você roda o WebGoat no seu PC ele fica vulnerável a ataques (ele irá ficar rodando um servidor Web, o TomCat para ser mais exato), o desenvolvedor aconselha que quando você estiver utilizando o WebGoat você desconecte sua máquina da Internet.

Obs2: Esse programa é apenas para fins educacionais, o autor do programa não se responsabiliza pelo uso de qualquer técnica apresentada, em aplicações Web alheias! Instalação (Windows)

  1. Faça o Download das 7 partes do WebGoat 5.1 Traduzido AQUI.</div>
  2. Extraia os arquivos em um diretório de sua preferência.</div>
  3. Para iniciar o WebGoat acesse o diretório aonde está o WebGoat e abra o arquivo "webgoat.bat" .</div>
  4. Inicie seu WebBrowser e acesse o seguinte endereço: http://localhost/WebGoat/attack</div>
  5. Para fazer login use as credencias: Usuário = guest e Password = guest</div>
  6. Para finalizar o WebGoat feche a janela do TomCat.</div>
Instalação (Linux)
  1. Faça o download e instale o Java JDK 1.5 (pode ser encontrado em: http://java.sun.com).</div>
  2. Faça o Download das 7 partes do WebGoat 5.1 Traduzido AQUI.</div>
  3. Mude JAVA_HOME para apontar para o diretório onde está o JTK 1.5.</div>
  4. chmod +x webgoat.sh (dê permissão de execução para o script webgoat.sh).</div>
  5. Para iniciar o WebGoat use o comando: sudo sh webgoat.sh start</div>
  6. Abra seu Browser e acesse o seguinte endereço: http://localhost/WebGoat/attack</div>

  7. Logue como Usuário = guest e Password = guest </li>

  8. Para finalizar o WebGoat use o comando: sudo sh webgoat.sh stop </li> </ol> Instalação OS X (Tiger 10.4+)

    1. Faça o Download das 7 partes do WebGoat 5.1 Traduzido AQUI</div>
    2. Extraia os arquivos para um diretório de sua preferência</div>
    3. Use o comando: chmod +x webgoat.sh (para dar permissão de execução)</div>
    4. Para iniciar o WebGoat use o comando: sudo sh webgoat.sh start</div>
    5. Inicie seu Browser e acesse o seguinte endereço: http://localhost/WebGoat/attack</div>
    6. Faça login usando essas credencias: User = guest e Pass = guest</div>

    A interfaçe é bastante intuitiva, é bastante fácil aprender a usar o WebGoat (principalmente por que existe a versão traduzida).

    Maiores informações: Home page do projeto e Informações sobre a versão traduzida

    Créditos:

    Bruce Mayhew (http://www.ouncelabs.com) Rogan Dawes (http://dawes.za.net/rogan) Eric Sheridan (http://www.aspectsecurity.com) Erwin Geirnaert (http://www.zionsecurity.com)

    Dúvidas? Comentem !