Installare WebGoat su GNU/Linux
clacla
Questo è un software, creato dall’OWASP, è un’applicazione che si prefigge lo scopo di illustrare le tipiche falle di sicurezza della applicazioni web. Vuole insegnare l’approccio per il testing e l’exploiting di queste vulnerabilità.
Questo è un applicazione disegnata da hacker esperti per cercare di insegnare l’hacking pratico a persone responsabili, ma sopratutto secondo l’Etica Hacker.
Quindi non avrete davanti un programmino per fare i fighetti con gli amici, o nulla del genere, ma un software di un livello morale/etico di un livello superiore.
WebGoat è un ambiente di studio e simulazione gradevole e moderno, infatti è tutta una applicazione web-based, ben curata, con tutto il materiale informativo su ciò che si sta facendo.
Trovo questo progetto molto interessante perché permette di poter imparare la sicurezza informatica, senza attaccare o disturbare sistemi altrui. Potrete così sperimentare dei Buffer Overflows o DoS senza dare noie a nessuno.
Avvertenze: il seguente manuale è stato pensato e testato per essere usato su una Ubuntu 7.10 Gutsy Gibbon. Questo vuol dire che su versioni o distribuzioni ci potrebbero essere alcuni accorgimenti da tenere in considerazione.
Quindi attenzione a ciò che fate!
»Installazione ed uso
Per farlo funzionare basta avere la Java 1.5.0, quindi da terminale:
sudo aptitude installa sun-java5-bin sun-java5-jdk sun-java5-jre
Avrete bisogno di scaricare l’archivio WebGoat-OWASP_Standard.
Scaricato riaprite il terminale:
unzip WebGoat-OWASP_StandardXXX.zip #Al posto di XXX ci sarà la versione
cd WebGoat-XXX/
Attualmente nella versione 5.1 della suite, non è incluso lo script per avviare il software da linux, bisogna che lo scarichiate da qui: http://webgoat.googlecode.com/svn/tags/webgoat-5.1/main/webgoat.sh
Scaricato copiatelo nella cartella di WebGoat e ritornando al terminale digitate:
chmod +x webgoat.sh
gedit webgoat.sh
Si aprirà l’editor di testo. Ad inizio file dopo la linea ‘export CATALINA_HOME PATH’ aggiungete questa linea ‘export JAVA_HOME=/usr/lib/jvm/java-1.5.0-sun/’ (senza virgolette). Salvate e chiudete.
Ora per lanciare l’applicazione basterà digitare nel terminale, dalla cartella del programma:
sudo ./webgoat.sh start80
Per terminare premete CTRL + C e digitate:
sudo ./webgoat.sh stop
Fatto!! Buon divertimento…
»Link utili
http://www.owasp.org/index.php/Main_Page
http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
http://code.google.com/p/webgoat/downloads/list
http://code.google.com/p/webgoat/
http://webgoat.googlecode.com/svn/tags/webgoat-5.1/main/webgoat.sh