Comezo a serie de entradas relacionadas coa solución do
WebGoat partindo da base, a instalación da aplicación e doutra aplicación que vainos axudar a solucionar algunhas das probas que temos
WebScarab (tamén de
OWASP)
Instalación de WebGoatEn realidade non é unha instalación senon máis ben unha extracción de ficheiros nunha carpeta que desexemos. O primeiro que temos que facer é descarga-la aplicación, a data de hoxe a versión é a 5.1 para Windows e a 5.0 para Linux, para iso vámonos á páxina de WebGoat e ali imos ó apartado Releases, facemos click no enlace do
código en Google e aparécennos tres ficheiros:
- un ficheiro .zip que é o que conten a aplicación e que será o que descargaremos
- outro ficheiro .txt que contén as notas do que hai de novo na versión e unhas preguntas frecuentes
- e finalmente un ficheiro .pdf que contén información importante sobor da estructura da aplicación que nos servirá en certas leccións para sabe-lo código que temos que modificar para soluciona-lo erro, tamén danos información acerca do esquema da base de datos e da organización da empresa incluindo os accesos ós que están autorizados os distintos usuarios, tamén dinos que o contrasinal dos usuarios é o mesmo que o seu primerio nome
Unha vez descargado o ficheiro .zip o descomprimimos nunha carpeta que queiramos, cando o temos descomprimido na raíz da carpeta aparecerán tres ficheiros, dous de eles son os que nos servirán para executa-lo
WebGoat, o webgoat.bat e o webgoat_8080.bat, a única diferencia entre eles é que o primeiro executa o servidor web no porto 80 e se executamos o segundo o servidor escoitará no porto 8080. Executaremos este segundo script no caso de que teñamos xa un servidor web instalado no equipo
Off-topic: se queremos modificar o porto no que executamos o servidor web o único que deberemos facer é buscar o ficheiro server_8080.xml na carpeta tomcat\conf\, este ficheiro o editaremos, e na liña que pon
Sustiuiremos o 8080 polo porto que queiramos, e gardamos o ficheiro co nome de server_
porto.xml, logo imos o ficheiro webgoat_8080.bat e o editamos, buscamos a liña que pon
copy .\tomcat\conf\server_8080.xml .\tomcat\conf\server.xml
e modificamos o server_8080.xml polo nome do ficheiro que acabamos de crear e gardamos o ficheiro co nome de webgoa_
porto.bat, deste xeito podemos ter configurado un porto no que non permitamos conexións dende fora da nosa rede xa que cando estamos traballando co
WebGoat o noso equipo está inseguro
Para poder acceder á aplicación insegura deberemos abrir un navegador web e teclear http://localhost/WebGoat/attack, tede coidado ou http://localhost:
porto/WebGoat/attack se o executamos nun porto distinto ó 80. Coidado ó escribir
WebGoat, hai que escribilo tal e como está xa que é sensible a maiúsculas e se o poñemos doutra maneira non funcionaría.
Unha vez que accedemos á aplicación pídenos usuario e contrasinal, para ámbolos dous temos que poñer
guest, e nos debería aparecer algo como isto
No próximo post falaremos de comoe está estructurada a aplicación e cousas que nos serán útiles para resolver os distintos problemas que nos presenta
