h1

OWASP WebGoat project. J2EE i hacking ;)

Czerwiec 6, 2007

Graliście kiedyś w hackgame? No pewnie że graliście. A jak Wam szło? Bo mi to różnie, czasem lepiej czasem gorzej. Zdarzało się jednak czasem że po prostu się zatrzymywałem w pewnych momentach i nie mogłem się ruszyć w żadną stronę.. po prostu nie mogłem. Żałowałem wtedy że nie mogę sobie sam postawić takiego pola bitewnego na własnej maszynie żeby sobie poćwiczyć. I co? I okazuje się że mogę, co więcej, Wy też możecie!

OWASP WebGoat to takie cudo napisane w J2EE które zawiera podzielone na kategorie lekcje. Na rzecz każdej z lekcji zostały zaimplementowane bugi ( hehe impelentacja sql injection, jak to pięknie brzmi) i tak oto będzie nam dane zmierzyć się z sqli, blind sqli, Cross-site scripting, buffer overflow, cookiesy itp. Podczas każdej z lekcji będziemy mieli możliwość zajrzenia w źródło javowe danej aplikacji oraz poczytać coś na temat danej luki.

Czego potrzebujesz aby uruchomić WebGoat na swojej workstacji? (kliknij read the rest of this article)

Windows :

  • JDK 1.5 (nie testowałem z 1.6 bo nie chciało mi się przerabiać skryptu uruchomieniowego, ale można) download
  • TomCat download
  • WebGoat download

Linux :

  • JDK 1.5
  • WebGoat

W obu systemach musicie sobie ustalić zmienną globalną do JAVA_HOME. W linuksie wystarczy w

$home/.bashrc
dopisać
export JAVA_HOME=/usr/lib/jvm/jdk-1.5.0-sun-******

(proponuję sobie podlinkować /usr/lib/jvm/jdk-1.5.0-sun żeby nie trzeba było zmieniać wpisu za każdym razem jak będzie update jvm)

W windowsie musimy utworzyć zmienną globalną. Robi się to tak:

  1. Wchodzimy w zakładkę Zaawansowane we Właściwościach „naszego komputera”.
  2. Wyszukujemy „Zmienne globalne”
  3. Dodajemy zmienną gdzie nazwa = JAVA_HOME a wartość jest adresem do jej lokalizacji na naszym dysku.

potem odpalamy, w windowsie służy do tego
webgoat.bat
w linuksie odpalamy z konsolki (po uprzednm chmod +x )
./webgoat.sh start80
:) bawcie się dobrze! :)

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s

%d bloggers like this: