Instalando WebGoat

Comezo a serie de entradas relacionadas coa solución do WebGoat partindo da base, a instalación da aplicación e doutra aplicación que vainos axudar a solucionar algunhas das probas que temos WebScarab (tamén de OWASP)

Instalación de WebGoat

En realidade non é unha instalación senon máis ben unha extracción de ficheiros nunha carpeta que desexemos. O primeiro que temos que facer é descarga-la aplicación, a data de hoxe a versión é a 5.1 para Windows e a 5.0 para Linux, para iso vámonos á páxina de WebGoat e ali imos ó apartado Releases, facemos click no enlace do código en Google e aparécennos tres ficheiros:

• un ficheiro .zip que é o que conten a aplicación e que será o que descargaremos
• outro ficheiro .txt que contén as notas do que hai de novo na versión e unhas preguntas frecuentes
• e finalmente un ficheiro .pdf que contén información importante sobor da estructura da aplicación que nos servirá en certas leccións para sabe-lo código que temos que modificar para soluciona-lo erro, tamén danos información acerca do esquema da base de datos e da organización da empresa incluindo os accesos ós que están autorizados os distintos usuarios, tamén dinos que o contrasinal dos usuarios é o mesmo que o seu primerio nome

Unha vez descargado o ficheiro .zip o descomprimimos nunha carpeta que queiramos, cando o temos descomprimido na raíz da carpeta aparecerán tres ficheiros, dous de eles son os que nos servirán para executa-lo WebGoat, o webgoat.bat e o webgoat_8080.bat, a única diferencia entre eles é que o primeiro executa o servidor web no porto 80 e se executamos o segundo o servidor escoitará no porto 8080. Executaremos este segundo script no caso de que teñamos xa un servidor web instalado no equipo

Off-topic: se queremos modificar o porto no que executamos o servidor web o único que deberemos facer é buscar o ficheiro server_8080.xml na carpeta tomcat\conf\, este ficheiro o editaremos, e na liña que pon

Sustiuiremos o 8080 polo porto que queiramos, e gardamos o ficheiro co nome de server_porto.xml, logo imos o ficheiro webgoat_8080.bat e o editamos, buscamos a liña que pon

copy .\tomcat\conf\server_8080.xml .\tomcat\conf\server.xml

e modificamos o server_8080.xml polo nome do ficheiro que acabamos de crear e gardamos o ficheiro co nome de webgoa_porto.bat, deste xeito podemos ter configurado un porto no que non permitamos conexións dende fora da nosa rede xa que cando estamos traballando co WebGoat o noso equipo está inseguro

Para poder acceder á aplicación insegura deberemos abrir un navegador web e teclear http://localhost/WebGoat/attack, tede coidado ou http://localhost:porto/WebGoat/attack se o executamos nun porto distinto ó 80. Coidado ó escribir WebGoat, hai que escribilo tal e como está xa que é sensible a maiúsculas e se o poñemos doutra maneira non funcionaría.

Unha vez que accedemos á aplicación pídenos usuario e contrasinal, para ámbolos dous temos que poñer guest, e nos debería aparecer algo como isto




No próximo post falaremos de comoe está estructurada a aplicación e cousas que nos serán útiles para resolver os distintos problemas que nos presenta