WebGoat هو عبارة عن تطبيق ويب غير مأمن تقدمه شركة OWASP، وهو مصممم لتعليم دروس أمن تطبيقات الويب. والبرنامج يحتوي على ثغرات الـ server-side الشائعة. التمرينات مقصود منها أن يقوم الأشخاص باستخدامها وذلك من أجل تعليمهم أمن التطبيقات وتقنيات اختبار الاختراق.
في كل درس، يجب على المستخدمين إظهار مدى فهمهم للثغرة الأمنية وذلك باستغلال الثغرة استغلالاً حقيقاً عن طريق تطبيق WebGoat. فعلى سبيل المثال، في أحد الدروس يجب على المستخدم أن يقوم بعمل حقن لقاعدة البيانات من أجل الحصول على رقم بطاقة دفع. ومن هنا تأتي ميزة التطبيق حيث أنه يمنحك بيئة تعليم واقعية، بالإضافة إلى أنه يقدم لك لمحات وأكواد لتوضيح الدرس.
ما الذي يمكنك تعمله من خلال هذا التطبيق؟
- (Cross-site Scripting (XSS
- Access Control
- Thread Safety
- Hidden Form Field Manipulation
- Parameter Manipulation
- Weak Session Cookies
- Blind SQL Injection
- Numeric SQL Injection
- String SQL Injection
- Web Services
- Fail Open Authentication
- Dangers of HTML Comments
أسهل وأبسط طريقة لتحميل WebGoat-6.01-war.exec.jar هي:ـ
java -jar WebGoat-6.0.1-war.exec.jar
ثم قم باستعراض المسار التالي http://localhost:8080/WebGoat من أجل الدخول للتطبيق.
يمكنك تحميل التطبيق من هنـا
ولقراءة المزيد من التفاصيل اضغط هنــا
قمت بتحميل الملف ولكن لم أعرف كيف يتم استعراضه على المتصفح مادام لاحقة الملف jar وبداخله ملف ذو لاحقة war لا يتم استعراضه على اlocalhost ?
هل البرنامج صالح للمبتدئين في اختبار الاختراق ؟