實戰安全工程師訓練佳品之WebGoat入門篇
原創【51CTO.com獨家特稿】WebGoat是由著名的OWASP負責維護的一個漏洞百出的J2EE Web應用程序,這些漏洞并非程序中的bug,而是故意設計用來講授Web應用程序安全課程的。這個應用程序提供了一個逼真的教學環境,為用戶完成課程提供了有關的線索。
對于每堂課,都對應于WebGoat應用程序中的一個實際的安全漏洞,為了能親身實踐如何利用這個漏洞,您首先需要具備該漏洞的有關知識,雖然WebGoat應用程序本身提供了有關的簡介,但是很可能需要查找更多的資料才能搞定這個漏洞,所以,它對于激發安全測試人員和開發人員來的學習興趣和提高安全知識的理解及動手能力方面,都是非常有幫助的。舉個例子,在其中一個課程中,用戶必須使用SQL注入來竊取(杜撰的)信用卡號。——51CTO王文文:看到這個,由衷的感嘆老外對網絡安全教育的認真和開放的程度。
一、為什么要設計WebGoat
在學習和實踐Web應用程序安全知識時,我們所面臨的一大難點是:到哪里去找可以練手的web應用程序呢?顯然,明目張膽地掃描在線書店或者網絡銀行可不是個好主意,小心警察叔叔會找上門來。此外,安全專業人員經常需要測試某些安全工具,以檢查它們的功能是否如廠商所鼓吹的那般,這時他們就需要一個具有確定漏洞的平臺作為活靶子。但是,無論學習web測試,還是檢查工具性能,都要求在一個安全、合法的環境下進行。即使你的意圖是好的,但是在未經許可的情況下企圖查找安全漏洞也是絕不允許的。這時,WebGoat項目便應運而生了。
WebGoat項目的主要目標很簡單,就是為Web應用程序安全學習創建一個生動的交互式教學環境。將來,項目研究小組希望將WebGoat發展成為一個安全性基準測試程序平臺和一個基于Java的蜜罐網站。如果您有興趣,也可以查閱這個項目的路線圖,其中能夠找到一些可以立即參與的任務。——51CTO王文文:是不是挺像一個黑客游戲?既能過癮又能練習網絡安全技術,最重要的是不用去危害真實的網站。
二、WebGoat概要
WebGoat是一個用來演示Web應用程序中的典型安全漏洞的應用程序,旨在在應用程序安全審計的上下文中系統、條理地講解如何測試和利用這些安全漏洞。WebGoat是用Java語言寫成的,因此可以安裝到所有帶有Java虛擬機的平臺之上。此外,它還分別為Linux、OS X Tiger和Windows系統提供了安裝程序。部署該程序后,用戶就可以進入課程了,該程序會自動通過記分卡來跟蹤用戶的進展。當前提供的訓練課程有30多個,其中包括:跨站點腳本攻擊(XSS)、訪問控制、線程安全、操作隱藏字段、操縱參數、弱會話cookie、SQL盲注、數字型SQL注入、字符串型SQL注入、web服務、Open Authentication失效危險的HTML注釋……等等!
我們希望通過WebGoat幫助測試人員掌握以下技能:
◆理解web應用程序中的各種高級交互過程
◆確定出有助于發動攻擊的客戶端可見數據
◆識別和理解能將應用程序暴露在攻擊之下的數據和用戶交互
◆對這些交互進行測試,并暴露出它們的漏洞
◆攻擊應用程序以演示和利用服務器的弱點
對于WebGoat來說,它的安裝過程就是下載和解壓縮,然后就可以使用了。然而,一些用戶可能更喜歡下載war文件。下面就所有的安裝方式分別做詳細的說明。#p#
三、WebGoat標準版安裝方法
WebGoat是一個平臺無關的Web安全漏洞實驗環境,該環境需要Apache Tomcat和JAVA開發環境的支持。它分別為Microsoft Windows和UN*X環境提供了相應的安裝程序,下面我們將根據操作系統分別加以介紹。
安裝Java和Tomcat
需要注意,從版本5開始,這一步可以省略,因為它們自身帶有Java Development Kit和Tomcat 5.5。首先安裝Java,您可以從http://java.sun.com/downloads/安裝和部署合適的版本,最低版本要求為1.4.1,然后安裝Tomcat,您可以從http://tomcat.apache.org/download-55.cgi安裝和部署Tomcat。
安裝到Windows系統
1.將WebGoat-OWASP_Standard-5.2.zip解壓至合適的目錄中。
2.若要啟動Tomcat,切換至前面存放解壓后的WebGoat的目錄,然后雙擊webgoat.bat即可。
3.啟動瀏覽器,在地址欄輸入http://localhost/WebGoat/attack 。注意,這個鏈接地址是區分大小寫的,務必確保其中使用的是大寫字母W和G。
安裝到Linux系統
1.將WebGoat-OWASP_Standard-x.x.zip解壓至您的工作目錄。
2.將webgoat.sh文件中的第17、19和23行中的“1.5”改為“1.6”。
3.因為最新版本運行在一個特權端口上,所以您需要使用下列命令來啟/停WebGoat Tomcat:
(1). 當作為root用戶運行在80端口時,使用:
sudo sh webgoat.sh start80 sudo sh webgoat.sh stop |
(2). 當運行在8080端口時,使用:
sh webgoat.sh start8080 sh webgoat.sh stop |
安裝至OS X(Tiger 10.4+)系統
1.將WebGoat-OWASP_Standard-x.x.zip解壓至您的工作目錄。
2.將webgoat.sh文件中的第10行中的“1.5”改為“1.6”。
3.因為最新版本運行在一個特權端口上,所以您需要使用下列命令來啟/停WebGoat Tomcat:
(1).當作為root用戶運行在80端口時,使用:
sudo sh webgoat.sh start80 sudo sh webgoat.sh stop |
(2). 當運行在8080端口時,使用:
sh webgoat.sh start8080 sh webgoat.sh stop |
安裝至FreeBSD系統
1.使用下面的命令來安裝Tomcat和Java :
cd /usr/ports/www/tomcat55 sudo make install |
2. 安裝Java JDK的時候,可能需要手工方式進行下載,屆時系統會給出詳細的提示。
3. 將WebGoat-OWASP_Standard-x.x.zip解壓至您的工作目錄。
4. 將webgoat.sh文件中的第17、19和23行中的“1.5”改為“1.6”。
5. 因為最新版本運行在一個特權端口上,所以您需要使用下列命令來啟/停WebGoat Tomcat:
(1).當作為root用戶運行在80端口時,使用:
sudo sh webgoat.sh start80 sudo sh webgoat.sh stop |
(2). 當運行在8080端口時,使用:
sh webgoat.sh start8080 sh webgoat.sh stop |
運行方法
1. 啟動瀏覽器,并在地址欄輸入http://localhost/WebGoat/attack,注意這里使用的大寫的字母W和G。
2. 登錄時,用戶帳號使用guest,密碼為guest。 #p#
四、WebGoat Developer版安裝方法
WebGoat 5.2 Developer版(位于SourceForge網站),注意:這個版本旨在提供一個WebGoat實驗室環境。如果您想開發自己的教學課程,請與Google code站點上的基線同步。
這個開發人員版本除了包含標準版本外,還多了一個已配置的Eclipse環境。這個開發人員版本使用也會簡單,下載、解壓縮然后單擊腳本即可。如果您僅僅希望研究有關課程的話,它用起來跟標準版本沒有什么區別。然而,如果希望組建實驗室,或者在課堂上使用WebGoat的話,可以使用eclipse.bat腳本來啟動一個預配置的WebGoat環境。具體的使用說明,請參見自帶的_HOW TO create the WebGoat workspace.txt_文件。
1.將Eclipse-Workspace.zip抽取至工作目錄
2.雙擊eclipse.bat文件
3.在Eclipse右上角的包資源管理器中,右鍵單擊WebGoat項目,并刷新
4.在Eclipse右上角的包資源管理器中,右鍵單擊Servers項目,并刷新
5.在Eclipse 底部的服務器視圖中,右鍵單擊localhost服務器,并啟動它
6.在瀏覽器中導航至http://localhost/WebGoat/attack。
7.源代碼發生的任何變化,都會自動地引起編譯操作,保存后會自動重新部署。#p#
五、WebGoat War文件版安裝方法
這個版本將假定已經預先安裝了WebGoat Standard版本,或者主機已經安裝了java 1.5(或更高版本)和tomcat 5.5。如果您尚未安裝Standard版本,那么就需要修改tomcat/conf/tomcat-users.xml文件來添加WebGoat用戶,具體請參閱http://code.google.com/p/webgoat/wiki/FAQ。
1.從WebGoat Downloads 鏈接下載WebGoat-OWASP_WAR-X.X.zip。
2.如果Tomcat正在運行的話,請先將其關閉——只需關閉Tomcat窗口即可。
3.將war文件拷貝至WebGoat-X.X\tomcat\webapps\webgoat.war
4.刪除現有的WebGoat-X.X\tomcat\webapps\webgoat目錄
(1).這會導致所有的課程狀態被丟失
(2).若要保存課程狀態,請保留webapps\webgoat\users文件夾的副本
(3).重新啟動WebGoat之后恢復這個用戶目錄
5.切換至WebGoat-X.X目錄
6.雙擊webgoat.bat文件
這時Tomcat窗口就會啟動。
7.在瀏覽器中導航至http://localhost/WebGoat/attack。 #p#
六、所需其他工具
對于老道的應用程序安全審計人員來說,可用的輔助工具有很多。就我們這種類型的安全審計來說,最常用的工具就是本地代理和web/應用程序爬蟲。為了完成全套WebGoat課程,web代理程序是必不可少的。
應用程序審計代理
一般的web代理通常都能接收、處理和轉發客戶和服務器之間的HTTP和HTTPS數據,這樣就能讓所有的web通信流量都流經某個點,以便通過高速緩存或者應用安全策略來監視利用率、提高性能,等等。
應用程序代理工具可用來攔截本地客戶端的瀏覽器和服務器端之間所有的HTTP和HTTPS通信,它實際上充當了一個可以監視、檢查和(最重要地)修改所有的交互的中間人角色。
通過這種工具,審計人員可以準確確定出在客戶和服務器之間傳遞的到底是什么樣的數據。此外,它們還可以對這些數據進行分析和修改,從而測試對應用程序的影響。
在WebGoat的許多課程中,應用程序審計代理或者具備同等功能的軟件都是必不可少的。下列是我們推薦的工具:
◆WebScarab:WebScarab Project
◆BurpProxy- http://portswigger.net/
◆ParosProxy - http://parosproxy.org
應用程序爬蟲
所謂爬行一個站點,實際上就是識別和訪問網站應用程序內所有預定的頁面和鏈接,并建立本地副本;當然建立副本這一點通常是可選的。然后,我們就可以分析爬行結果,得到應用程序內目標腳本、表單、頁面和字段等組成的明細表供后面的測試之用。鏡像下來的內容也可以用來分析有關信息,這樣做要比人工或者在線分析要快得多了。
下列是我們推薦的工具:
◆WebScarab:WebScarab Project
◆BurpSpider - http://portswigger.net
◆ParosProxy - http://parosproxy.org #p#
七、WebGoat操作指南
開始使用WebGoat之前,必須首先啟動Tomcat,這可以通過Tomcat的bin目錄中的腳本/批處理程序startup來完成。此外,要想正常使用WebGoat,它必須具備作為服務器運行所需的權限,并允許一些不常見的web行為。當主機運行WebGoat時,WebGoat的安全漏洞會牽連到主機,從而使主機很容易遭到攻擊。如果機器連接到了互聯網,那么就應該將其斷開。運行的個人防火墻可能會阻止WebGoat的正常使用。所以,運行WebGoat時需要禁用所有的個人防火墻。
我們可以通過瀏覽器瀏覽localhost的80端口訪問Tomcat服務器,如http://127.0.0.1。
WebGoat位于WebGoat目錄,其中的課程包含在http://127.0.0.1/WebGoat/attack中。
WebGoat應用程序施行基于角色的安全機制。登錄對話請求會要求輸入身份憑證,登錄時,可以將guest作為用戶標識和密碼使用。
 |
| 圖1 登錄頁面 |
成功登錄之后,Tomcat服務器將顯示WebGoat的歡迎頁面。
 |
| 圖2 歡迎頁面 |
下面介紹WebGoat的基本操作。我們知道,無論應用程序安全審計的哪個階段,都需要對目標的運作機制有深入的了解。這通常包括:
◆考察客戶端內容,諸如HTML和腳本
◆分析客戶和服務器之間的通訊
◆檢查cookie及其他本地數據
瀏覽器已經使得查看HTML源代碼變得非常輕松,而WebGoat又增加了多種操作,包括顯示參數、顯示HTML、顯示Cookies和顯示Java等。
 |
| 圖3 WebGoat顯示HTML源代碼 |
在普通環境之下,瀏覽器只提供查看HTML源代碼的功能部件,對于微軟公司的Internet Explorer瀏覽器,可以通過“查看”菜單下的“源文件”選項來查看HTML源代碼。對于Firefox瀏覽器來說,查看頁面源碼的功能同樣位于“查看”菜單下的“頁面源代碼”下。 WebGoat的顯示HTML功能僅僅展示當前課程相應的HTML代碼,而不包括側欄和上欄對應的HTML代碼。
 |
| 圖4 顯示HTML源代碼 |
這里,參數和cookie顯示為紅色。
 |
| 圖5 顯示參數Cookies |
這里顯示Java操作會彈出一個包含源代碼的新窗口。
下面介紹如何使用代理,要想充分挖掘WebGoat的各種功能,我們需要借助以審計人員常用的應用程序審計代理程序。這有助于進行更深入的分析,并能修改客戶端-服務器的交互和傳輸過程中的數據。由于不同的工具,其使用和配置方法也不相同,但基本概念是一致的:
◆應用程序審計代理必須位于客戶端的瀏覽器和遠程服務器之間。
◆它應該允許顯示和修改傳輸中的所有HTTP數據。
該工具通常會直接插入瀏覽器,或者在另一個本機端口進行偵聽。當代理程序直接插入瀏覽器的時候,需要在瀏覽器中鍵入一個特殊的URL。當該工具偵聽端口時,則需要對瀏覽器進行相應的配置,方可正常使用該工具。在微軟公司的Internet Explorer中,可以通過工具菜單完成配置工作,如下所示:
1. 選擇工具菜單中的“Internet 選項”菜單項。
2. 選擇“連接”選項卡。
3. 單擊選項卡下方的“局域網設置…”按鈕。
4. 在局域網設置對話框中,選中為LAN使用代理服務器的復選框。
5. 不選“對本地地址不使用代理服務器”框。
6. 輸入代理工具將要偵聽的地址和端口。對于WebScarab而言,其默認偵聽端口是8008。
 |
| 圖6 局域網設置 |
現在,每當從客戶端的瀏覽器接收或者發送數據時,我們都能通過攔截、分析和修改這些HTTP請求來測試應用程序,從而安全性缺陷。審計人員可以借助這類代理獲得多種能力,包括:
◆不管GET/POST參數的隱藏狀態如何,都可以對其進行修改。
◆無論是持久性還是非持久性的Cookie,當它們進入和離開瀏覽器時,我們都可以對其進行修改。
◆因為參數可以在發送給服務器之前進行即時修改,所以我們可以繞過所有的客戶端數據驗證。
◆能夠暴露高速緩存的數據,以便于分析。
◆能夠暴露出Server:及其他報頭,這對于調查遠程web服務器類型和所用的應用程序-服務器技術非常有利。 #p#
八、WebScarab入門指南
WebScarab具有大量的功能,因而可能會讓新用戶有一種無從下手之感。為求簡單起見,攔截和修改瀏覽器和HTTP/S服務器的請求和響應可以作為初學者很好的入門課,因為這無需學習太多的內容就可以完成。
首先,我們假定您能夠自由訪問因特網,也就是說,您并非位于一個代理之后。為簡單起見,我們還假定您使用的瀏覽器是Internet Explorer。
 |
| 圖7 |
上面是WebScarab啟動后的截圖,其中有幾個主要的區域需要介紹一下。首先要介紹的是工具欄,從這里可以訪問各個插件,摘要窗口(主視圖)和消息窗口。
摘要窗口分成兩個部分,上面部分是一個樹表,顯示我們訪問的站點的布局,以及各個URL的屬性。下面部分是一個表格,顯示通過WebScarab可以看到的所有會話,正常情況下它們以ID逆序排列,所以靠近表頂部的是最近的會話。當然,會話的排列次序是可以更改的,如果需要的話,只需通過單擊列標頭即可。
為了將WebScarab作為代理使用,需要配置瀏覽器,讓瀏覽器將WebScarab作為其代理。 我們可以通過IE的工具菜單完成配置工作。通過菜單欄,依次選擇選擇“工具”菜單、“Internet 選項”、“連接”、“局域網設置”來打開代理配置對話框。
 |
| 圖8 |
WebScarab 默認時使用localhost的8008端口作為其代理。需要對IE進行配置,讓IE把各種請求轉發給WebScarab,而不是讓IE讀取這些請求,如上圖所示。確保除“為LAN使用代理服務器”之外的所有復選框都處于未選中狀態。為IE配置好這個代理后,在其它對話框中單擊確定按鈕,并重新回到瀏覽器。瀏覽一個非SSL的網站,于是轉向WebScarab。
這時,您應該看到如下圖所示的畫面;否則的話,或者是在瀏覽時遇到錯誤的話,您應當回到上面的步驟,檢查你的Internet Explorer中的代理設置是否如上所述。如果代理設置是正確的,還有一種可能原因是端口8008已經被其他程序占用,這樣的話WebScarab就無法正常使用該端口了。如果是這樣的話,您應當停用那個程序。后面我們會介紹如何讓WebScarab使用不同的端口。
注意:如果您正在使用WebScarab測試的站點與瀏覽器位于同一個主機之上(即localhost或者127.0.0.1),并且瀏覽器為IE7的話,則需要在主機名的后面添加一個點號“.”,從而強迫IE7使用您配置的代理。這可不是WebScarab的一個bug,而是IE 開發人員所做的一個令人遺憾的設計決策。 如果IE覺得您試圖訪問的服務器位于本地計算機上,它就會忽略所有的代理設置,欺騙它的一個方法是在主機名后面加一個點,例如http://localhost./WebGoat/attack。這將強迫IE使用我們配置的代理。
 |
| 圖9 |
這里您可以看到一個URL樹,用來表示站點布局,以及經過WebScarab的各個會話。要想查看一個特定會話的詳細信息,您可以雙擊表中的一行,這時會彈出一個顯示請求和響應的詳細信息的窗口。您可以通過多種形式來查看請求和響應,這里顯示的是一個Parsed視圖,在這里,報頭被分解成一個表,并且請求或者響應的內容按照Content-Type報頭進行顯示。您還可以選擇Raw格式,這樣的話,請求或者響應就會嚴格按照它們的原始形態進行展示。
 |
| 圖10 |
在會話窗口中,您可以通過“previous”按鈕和“next”按鈕從一個會話切換到另一個會話,也可通過下拉式組合框直接跳到特定的會話。
現在,您已經熟悉了WebScarab的基本界面,并且正確地配置了瀏覽器,接下來要做的就是攔截一些請求,并且在它們被發送給服務器之前對其進行修改。
我們可以啟用代理插件的攔截功能,方法是通過工具欄上的“proxy”按鈕。然后,選擇“Manual Edit”選項卡。一旦選中“Intercept Requests”復選框,我們就可以選擇希望攔截的請求方法(大部分情況下是GET或者POST),甚至可以使用Ctrl+單擊的方式選擇多個方法。 目前,我們只選擇“GET”。
 |
| 圖11 |
現在,返回到你的瀏覽器,并單擊一個鏈接。這時,將會看到如下所示的一個窗口。最初,它只是在任務攔閃爍,只要點選它,就能正確顯示了。
 |
| 圖12 |
現在,我們就可以編輯選擇的請求的任何部分了。需要注意的是,報頭是以URL譯碼形式顯示的,而輸入的一切都會自動地URL編碼。如果您不想這樣的話,則可以使用Raw模式。在某些情況下,使用Raw模式可能是最簡單的形式,尤其是您希望粘貼某些東西的時候。
作出修改后,單擊“Accept changes”按鈕就會將修改后的請求發送到服務器。如果您希望取消所在的修改,可以單擊“Cancel changes”按鈕,這樣就會發送原始的請求。 您還可以單擊“Abort request”按鈕,如果您根本不想給服務器發送一個請求的話,這會向瀏覽器返一個錯誤。最后,如果打開了多個攔截窗口(也就是說瀏覽器同時使用了若干線程),您可以使用“Cancel ALL intercepts”按鈕來釋放所有的請求。
WebScarab將一直攔截所有的匹配我們指定的方法的請求,直到您在攔截會話窗口或者Proxy插件的“Manual Edit”選項卡取消選中“intercept requests”復選框為止。但是,您可能會奇怪:為什么WebScarab不會攔截對圖像、樣式表、javascript等內容的請求。如果您返回到“Manual Edit”選項卡,將會看到一個標識為“Exclude paths matching :”的字段。 這個字段包含一個正則表達式,用于匹配請求的URL,如果匹配,則該請求就不會被攔截。
如果您想改變頁面某些行為的話,您還可以通過配置WebScarab使其攔截有關響應,舉例來說,您可以禁用javascript驗證,修改SELECT字段可選項,等等。
九、小結
WebGoat是由著名的OWASP負責維護的一個漏洞百出的J2EE Web應用程序,這些漏洞并非程序中的bug,而是故意設計用來講授Web應用程序安全課程的。這個應用程序提供了一個逼真的教學環境,為用戶完成課程提供了有關的線索。本文對該工具的安裝和使用做了詳細的介紹,希望本文能夠對讀者有所幫助。
【51CTO.COM 獨家特稿,轉載請注明出處及作者!】
【編輯推薦】
