OWASP WebGoat:Installation

Pré-requis nécessaires

• Java JDK

# apt-get install sun-java6-jdk

L'installation se fait dans /usr/lib/jvm/java-6-sun-1.6.0.07

• WebScarab

Installation

Sous Windows

INCOMPLETE SECTION OR ARTICLE

This section/article is being written and is therefore not complete.
Thank you for your comprehension.

Sous Debian

# cd /root/
# wget http://webgoat.googlecode.com/files/WebGoat-OWASP_Standard-5.3_RC1.7z
# 7zr x WebGoat-OWASP_Standard-5.3_RC1.7z

Paramétrage

Afin que WebGoat fonctionne avec Java 1.6 (initialement prévu pour Java 1.5), il est nécessaire de modifier le fichier webscarab.sh, présent à la racine du répertoire d'installation de WebGoat :

# cd /root/WebGoat-5.3_RC1/
# vim webgoat.sh

Puis effectuer les modifications suivantes :

Sous la ligne :
  export CATALINA_HOME PATH
Ajouter :
  export JAVA_HOME=/usr/lib/jvm/java-6-sun

Exécution de WebGoat

# cd /root/WebGoat-5.2/
# sh webgoat.sh start80

Note

Par défaut, WebGoat n'est accessible qu'en local. Pour que l'application soit accessible à partir d'une autre adresse que 127.0.0.1, éditez le fichier tomcat/conf/server_80.xml et modifiez les lignes suivantes :

<Connector address="172.16.68.129" port="80"
  maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
  enableLookups="false" redirectPort="8443" acceptCount="100"
  connectionTimeout="20000" disableUploadTimeout="true"
  allowTrace="true" />

et

<Connector address="172.16.68.129" port="443" maxHttpHeaderSize="8192"
  maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
  enableLookups="false" disableUploadTimeout="true"
  acceptCount="100" scheme="https" secure="true"
  clientAuth="false" sslProtocol="TLS" keystoreFile=".keystore" />

Pour lancer WebGoat, ouvre votre navigateur à l'adresse suivante :

http://{adresseIP}/webgoat/attack

Par exemple, si vous êtes en local :

http://127.0.0.1/webgoat/attack

ou (si vous avez démarré sur le port 8080) :

http://127.0.0.1:8080/webgoat/attack

Utilisez guest/guest come couple login/mot de passe pour vous connecter.