Mostrando entradas con la etiqueta webgoat. Mostrar todas las entradas
Mostrando entradas con la etiqueta webgoat. Mostrar todas las entradas

Instalando WebGoat

Comezo a serie de entradas relacionadas coa solución do WebGoat partindo da base, a instalación da aplicación e doutra aplicación que vainos axudar a solucionar algunhas das probas que temos WebScarab (tamén de OWASP)

Instalación de WebGoat

En realidade non é unha instalación senon máis ben unha extracción de ficheiros nunha carpeta que desexemos. O primeiro que temos que facer é descarga-la aplicación, a data de hoxe a versión é a 5.1 para Windows e a 5.0 para Linux, para iso vámonos á páxina de WebGoat e ali imos ó apartado Releases, facemos click no enlace do código en Google e aparécennos tres ficheiros:
  • un ficheiro .zip que é o que conten a aplicación e que será o que descargaremos
  • outro ficheiro .txt que contén as notas do que hai de novo na versión e unhas preguntas frecuentes
  • e finalmente un ficheiro .pdf que contén información importante sobor da estructura da aplicación que nos servirá en certas leccións para sabe-lo código que temos que modificar para soluciona-lo erro, tamén danos información acerca do esquema da base de datos e da organización da empresa incluindo os accesos ós que están autorizados os distintos usuarios, tamén dinos que o contrasinal dos usuarios é o mesmo que o seu primerio nome

Unha vez descargado o ficheiro .zip o descomprimimos nunha carpeta que queiramos, cando o temos descomprimido na raíz da carpeta aparecerán tres ficheiros, dous de eles son os que nos servirán para executa-lo WebGoat, o webgoat.bat e o webgoat_8080.bat, a única diferencia entre eles é que o primeiro executa o servidor web no porto 80 e se executamos o segundo o servidor escoitará no porto 8080. Executaremos este segundo script no caso de que teñamos xa un servidor web instalado no equipo

Off-topic: se queremos modificar o porto no que executamos o servidor web o único que deberemos facer é buscar o ficheiro server_8080.xml na carpeta tomcat\conf\, este ficheiro o editaremos, e na liña que pon

Sustiuiremos o 8080 polo porto que queiramos, e gardamos o ficheiro co nome de server_porto.xml, logo imos o ficheiro webgoat_8080.bat e o editamos, buscamos a liña que pon
copy .\tomcat\conf\server_8080.xml .\tomcat\conf\server.xml
e modificamos o server_8080.xml polo nome do ficheiro que acabamos de crear e gardamos o ficheiro co nome de webgoa_porto.bat, deste xeito podemos ter configurado un porto no que non permitamos conexións dende fora da nosa rede xa que cando estamos traballando co WebGoat o noso equipo está inseguro

Para poder acceder á aplicación insegura deberemos abrir un navegador web e teclear http://localhost/WebGoat/attack, tede coidado ou http://localhost:porto/WebGoat/attack se o executamos nun porto distinto ó 80. Coidado ó escribir WebGoat, hai que escribilo tal e como está xa que é sensible a maiúsculas e se o poñemos doutra maneira non funcionaría.

Unha vez que accedemos á aplicación pídenos usuario e contrasinal, para ámbolos dous temos que poñer guest, e nos debería aparecer algo como isto




No próximo post falaremos de comoe está estructurada a aplicación e cousas que nos serán útiles para resolver os distintos problemas que nos presenta
Escrito por o No hay comentarios:
Etiquetas: , , ,

Solucioando o WebGoat

Levo un tempo dándolle voltas ó tema de cara onde debe ir este ego-blog, non teño visitas e tampouco estou seguro de se o que busco é ter visitas, pero sí que me gustaría facer algo máis ou menos periódico no blog para coller un pouco de disciplina no tema de publicar habitualmente, así que co galo de que fixen un Master en Seguridade da Información, e que quero profundizar algo no tema tomei a decisión de ir resolvendo os distintos laboratorios e probas que ten WebGoat e ilas publicando no blog, asimesmo tamén tentarei poñer algo de teoría sobre os distintos aspectos que se van tratando en cada apartado para ter un sitio onde consulta-lo no caso de que no futuro teña que revisalo :D

Pero o primeiro de todo será dicir que é iso do WebGoat, pois ben é unha aplicación web deliberadamente insegura que se currou a xente de OWASP (Open Web Application Security Project) e que pretende mostrar os erros máis comúns nas aplicacións web. A miña intención é publicar cada 7-15 días a solución a algún dos apartados da aplicación ata tela toda resolta.

Nesta anotación irei publicando tódalas entradas relacionadas con este tema, o que teño pensado polo de agora é comezar coa instalación do WebGoat e logo pasar a resolver algúns dos problemas que plantexan
Escrito por o No hay comentarios:
Etiquetas: , ,
Suscribirse a: Entradas (Atom)