本篇同步發佈在 Medium 平台上 Medium 連結

前言

WebGoat 是專門用來練習漏洞的 Web 應用程式，所以裡面的網頁都是漏洞百出的，因此官方也建議在使用 WebGoat 練習時，最好是把網路中斷，以免有心人士利用，讓使用者反而變成受害者。

此外，WebGoat 只供教育/練習使用，在這邊學到的任何技術都不能拿去測試外面的網頁，以免觸法！

WebGoat 安裝

在官方 Github 上可以看到，安裝 WebGoat 有四種方式

1. Run using Docker
2. Standalone
3. Run from the sources
4. Run with custom menu

接下來將使用第二種安裝方式做示範。

1. 請先確認電腦上是否有安裝 JRE

Java SE Downloads

2. 到官方 github 上下載最新版 WebGoat

WebGoat Github

3. 執行所下載的檔案

Windows： java -jar webgoat-server-8.1.0.jar [ — server.port=8080] [ — server.address=localhost]

macOS： java -jar webgoat-server-8.1.0.jar

Notice：注意輸入執行指令後是否皆無錯誤訊息、是否該 port 已有其他服務

4. 輸入上述所設定的 Port 及 Server 網址，如果沒有特別設定則網址為：

http://localhost:8080/WebGoat

5. 先點選 Register new user 來建立一個新帳戶

6. 看到與下圖相同的 WebGoat 首頁就可以開始演練各種漏洞啦！

漏洞演練 : SQL Injection

至左邊選單 (A1) Injection → SQL Injection (intro) → Page 9

此處可以讓您練習如何組出 SQL Injection 的攻擊字串，取得資料庫中不屬於您的資料。

漏洞演練 : XSS (Cross Site Scripting)