Как работать с WebGoat

Добро пожаловать в краткую инструкцию по работе с WebGoat.
Здесь вы научитель использовать сам WebGoat, а также инструменты, необходимые для некоторых уроков.

Информация о среде работы WebGoat

WebGoat работает под управлением Apache Tomcat. По умолчанию он настроен на работу на хосте localhost, однако в случае необходимости имя хоста может быть легко изменено. Кроме того, по умолчанию WebGoat настроен на работу лишь с одним пользователем. Дополнительные учётные записи вы можете добавить в файле tomcat-users.xml. Если вы хотите использовать WebGoat в лаборатории или классе вам обязательно нужно изменить его базовую конфигурацию. Для этого пройдите в раздел "Введение" и прочтите главу "Настройка Tomcat"

Интерфейс WebGoat



1. Здесь располагаются категории уроков WebGoat. Кликните по любой категории и вы увидите какие уроки в неё входят.
2. При клике здесь находятся подсказки которые помогут вам проходить уроки.
3. При клике здесь отобразятся параметры текущего HTTP-запроса
4. При клике здесь отобразятся текущие Cookies
5. При клике здесь отобразятся цели и задачи текущего урока.
6. При клике здесь отобразится исходный код урока на Java.
7. При клике здесь отобразится решение текущего урока.
8. В случае если вы хотите начать урок заново кликите на эту ссылку.

Решение уроков

Всегда начинайте работу по плану текущего урока. Если вдруг решить урок у вас никак не получается, воспользуйтесь подсказками к нему. В том случае, если урок не получается решить даже с помощью подсказок вы можете посмотреть подробное его решение.

Чтение и редактирование параметров

Для чтения и редактирования параметров вам необходимо иметь локальный прокси-сервер способный перехватывать HTTP-запросы. Здесь вы можете использовать WebScarab. Более подробную информацию о нём вы можете получить в разделе "Используемые инструменты". После установки WebScarab и настройки браузера на работу с ним можно начинать прохождение уроков.



Мы ставим галочку в поле "Intercept Request" на закладке "Intercept". Если мы сейчас пошлём из браузера какой-либо запрос, то сразу же появится новое окно WebScarab.



Здесь мы можем смотреть и редактировать перехватываемые параметры. После нажатия "Accept Changes" запрос пойдёт дальше на сервер.

Просмотр и редактирование Cookies

Почти всегда редактирование Cookies происходит точно также как и редактирование параметров запроса. Мы можем использовать WebScarab для перехвата запроса и изменения значений имеющихся в нём Cookies точно также как описывалось выше.



При отправке нового запроса появится уже знакомое окно. На скриншоте вы видите где может располагаться строка с Cookies и как можно редактировать её значение.