OWASP WebGoat project. J2EE i hacking ;)

Graliście kiedyś w hackgame? No pewnie że graliście. A jak Wam szło? Bo mi to różnie, czasem lepiej czasem gorzej. Zdarzało się jednak czasem że po prostu się zatrzymywałem w pewnych momentach i nie mogłem się ruszyć w żadną stronę.. po prostu nie mogłem. Żałowałem wtedy że nie mogę sobie sam postawić takiego pola bitewnego na własnej maszynie żeby sobie poćwiczyć. I co? I okazuje się że mogę, co więcej, Wy też możecie!

OWASP WebGoat to takie cudo napisane w J2EE które zawiera podzielone na kategorie lekcje. Na rzecz każdej z lekcji zostały zaimplementowane bugi ( hehe impelentacja sql injection, jak to pięknie brzmi) i tak oto będzie nam dane zmierzyć się z sqli, blind sqli, Cross-site scripting, buffer overflow, cookiesy itp. Podczas każdej z lekcji będziemy mieli możliwość zajrzenia w źródło javowe danej aplikacji oraz poczytać coś na temat danej luki.

Czego potrzebujesz aby uruchomić WebGoat na swojej workstacji? (kliknij read the rest of this article)

Windows :

• JDK 1.5 (nie testowałem z 1.6 bo nie chciało mi się przerabiać skryptu uruchomieniowego, ale można) download
• TomCat download
• WebGoat download

Linux :

• JDK 1.5
• WebGoat

W obu systemach musicie sobie ustalić zmienną globalną do JAVA_HOME. W linuksie wystarczy w

$home/.bashrc
dopisać
export JAVA_HOME=/usr/lib/jvm/jdk-1.5.0-sun-******

(proponuję sobie podlinkować /usr/lib/jvm/jdk-1.5.0-sun żeby nie trzeba było zmieniać wpisu za każdym razem jak będzie update jvm)

W windowsie musimy utworzyć zmienną globalną. Robi się to tak:

1. Wchodzimy w zakładkę Zaawansowane we Właściwościach “naszego komputera”.
2. Wyszukujemy “Zmienne globalne”
3. Dodajemy zmienną gdzie nazwa = JAVA_HOME a wartość jest adresem do jej lokalizacji na naszym dysku.

potem odpalamy, w windowsie służy do tego
webgoat.bat
w linuksie odpalamy z konsolki (po uprzednm chmod +x )
./webgoat.sh start80
:) bawcie się dobrze! :)