Навчання захисту веб-застосунків з WebGoat, Linuxoid
OpenSource forever
Багато сучасних рішень розробляються як веб-додатки. Це просто, зручно та головне доступно. Залишається відкритим головне питання – безпека.
Проект WebGoat
Встановлення WebGoat
WebGoat - кросплатформовий інструмент, його можна запустити в будь-якій ОС, в якій працюватимуть Apache Tomcat та Java SDK. Для доступу до лекцій використовується веб-браузер, інтерфейс тільки англійський і очевидно іншого поки що не передбачається. На сайті проекту доступні інструкції зі встановлення в Linux, Windows і Mac OS X, але вони дуже поверхові і не показують суті. Щоб не встановлювати WebGoat під час вивчення, можна використовувати дистрибутивDamn Vulnerable Linux [4,5], що містить не тільки WebGoat, але й низку інших корисних інструментів, що дозволяють проаналізувати захищеність систем.
Встановлюємо пакети з Java та unzip.
Завантажуємо та розпаковуємо архів WebGoat:
Копіюємо в робочий каталог і встановлюємо права доступу для одного разу можна і просто $ sudo bash webgoat.sh навіщо. на завантажувальний скрипт.
Якщо спробувати запустити цей скрипт, швидше за все, отримаємо повідомлення, що говорить про те, що змінна JAVA_HOME не встановлена.
Простіше прописати потрібні дані безпосередньо у скрипт. Зберігаємо оригінальну версію.
Тепер редагуємо, прописавши в самому початку файлу змінну JAVA_HOME:
Зберігаємо результат та запускаємо.
Якщо 80 порт вже використовується, можна запустити WebGoat на 8080:
Відкриваємо у браузері сторінку http://127.0.0.1/WebGoat/attack та реєструємось як користувачguest з паролемguest. Самі розробники рекомендують відключити систему з працюючим WebGoat від мережі, оскільки вона напхана вразливістю, що несе потенційну небезпеку. За замовчуванням WebGoat стартує в режимі одного користувача і доступний тільки з локальної системи порти 80 (https 443) або 8080 (https 8443). Це легко змінити, редагувавши файли в tomcat/conf. Так порти, на яких приймаються підключення, описані у файлахserver_80.xml абоserver_8080.xml, які завантажують стартовий скрипт залежно від параметра. Щоб мати можливість підключатися віддалено і до іншого порту слід відредагувати параметри “Connector address ” та “port ”:
Безсумнівно з WebGoat слід познайомитися фахівцям, які так чи інакше займаються безпекою веб-додатків. Короткі уроки допоможуть краще зрозуміти суть проблем, і головне торкнутися деяких «таємниць» хакерів.
Посилання: 1. Сайт проекту WebGoat - http://code.google.com/p/webgoat/, http://www.owasp.org/index.php/OWASP_WebGoat_Project 3. Сторінка субпроекту OWASP SecuringWebGoat using ModSecurity Project - http://www.owasp.org/index.php/OWASP_Securing_WebGoat_using_ModSecurity_Project 4. Сайт Damn Vulnerable Linux - http://www.damnvulnerablelinux.org/ 5. Посилання на ISO образ дистрибутива Damn Vulnerable Linux (1.7 Гб) - http://www.computerdefense.org/dvl/DVL_1.5_Infectious_Disease.iso 6. Сторінка проекту OWASP Live CD - http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project 7. Сторінка OWASP Testing Project - http://www.owasp.org/index.php/Category:OWASP_Testing_Project 8. Сторінка проекту OWASP WebScarab Project - http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project 9. Сторінка проекту Firebug - http://getfirebug.com/ 10. Сторінка проекту WireShark - http://www.wireshark.org/
Посилання на ISO образ дистрибутива Damn Vulnerable Linux не є актуальним 🙁