部署使用WebGoat6网络漏洞测试平台

    什么是WebGoat？引用一下OWASP官方介绍：

    WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台，用来讲明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上，当前提供的训练课程有30多个，其中包括：跨站点脚本***（XSS）、访问控制、线程安全、操做隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程，某些课程也给出了视频演示，指导用户利用这些漏洞进行***。

    WebGoat多年来一直是版本5.4，今年升级为版本6。主要是基于新的框架和界面对各项课程进行了从新集成，项目主页是http://webgoat.github.io/。

    先来看一下两个版本的界面：

   

   

   实际使用中，新版本不只界面漂亮，关键是hints、solutions等选项的内容更加完善，便于学习。使用WebGoat有两种方法，一是直接下载运行包WebGoat-6.0-exec-war.jar，而后：

    java -jar WebGoat-6.0-exec-war.jar

    随后就能够在本机浏览器里使用了：

    http://localhost:8080/WebGoat

    可是我的更倾向于另外一种方法，就是下载源码包，经过maven部署使用。好处是能够完成一些须要修改源代码的课程，并且不限于本机运行。但全新安装tomcat、maven、java等必需环境，并且把参数设置好很是麻烦，因此直接在OWASP的Broken Web APP虚拟机上使用是最方便的，由于环境都已经构建好了。具体步骤以下：

    下载获得WebGoat-Master.tar.gz，复制到/var/www里解压，获得WebGoat-master项目目录：

     由于虚拟机启动时tomcat已经运行了，因此要先中止服务，再用mvn启动。将几个过程写成批处理：

    cat >~/run_webgoat6.sh<<EOF
    /etc/init.d/tomcat6 stop
    cd /var/www/WebGoat-master
    mvn clean tomcat:run-war
    EOF

    这样，WebGoat5.4和6两个版本就是虚拟机里共存了。开机之后不运行run_webgoat6.sh脚本，则启动webgoat5.4，运行了之后再从主界面进入就能够play了！