WebGoat的安装

Welcome Here！

谈一谈有关WebGoat的搭建

1.WebGoat环境搭建

（1）下载安装webscarab

  首先我们先查看自己是否有可以运行.jar文件的jdk(jdk1.8)，可在cmd.exe中输入java -version，接着去sourceforge下载webscarab: WebScarab下载地址
等待几秒后自动下载.

出现此图情况点击保留，如果有McAfee的安全警报，点击认可风险。

  下载完成后点击.jar文件，如果显示无法打开可能是因为之前下载的jdk与现在用的不一样，可以通过修改注册表编辑器打开：
 ①win+R输入regedit，打开注册表编辑器
 ②在编辑下查找javaw.exe

 ③进入javaw->shell->open->command，双击（默认）

 修改为当前的javaw.exe

 ④修改后就可以正常打开webscarab-installer-20070504-1631.jar了

  一路"next"，直至击“next”，无法继续进行。进入webscarab安装目录(C:\Program Files\WebScarab)查看是否生成jar包，确定jar包已生成，便可直接quit。

（2） 设置浏览器网络链接

设置浏览器代理：

（3）运行与测试

  通过打开安装目录下的webscarab.jar文件进行测试：打开一个页面时，WebScarab 可以截获到请求，说明配置正确。

2.运行WebGoat

  WebGoat 可以在网上下载到，运行其中的“webgoat_8080.bat”即可。在运行前，需要将代理设置为 localhost，端口 8008。
  在浏览器中输入 http://localhost:8080/WebGoat/attack 登录，如果启动了 Webscarab，则在浏览器输入 http://localhost.:8080/WebGoat/attack。初始用户名密码是 guest。

（可以在\WebGoat-5.2\tomcat\conf\tomcat-users.xml 修改用户名与密码）
（也可以在\WebGoat-5.2\tomcat\conf\server_80.xml 文件中修改端口）

  至此，webgoat的安装与运行完成！

3.String SQL Injection（字符串 SQL注入）

  ①进入webgoat，点击侧边栏Injection，选择SQL Injection (intro)进入简单SQL注入练习，如图:

 ②允许用户查看他们的信用卡号码。尝试通过 SQL 注入将所有信用卡信息显示出来。 尝试的用户名是“Smith”。

 ③尝试用户名是“'or ‘1’='1”

  That’s all, thank 油！！！