NO.7 WebGoat還是蠻好的滲透練手工具

嗯 更換導師之後我在部門內部的任務終於明確了。以做滲透測試為主，學習使用和操作安全設備為輔。

於是同事大哥先帶著我去做WebGoat，個人感覺效果還蠻好的。一個一個實驗式的學習過程感覺比純看網課要更容易接受一些。看著一個個綠色的勾勾會讓我有繼續做下去的動力。

關於WebGoat，引用來自OWASP的介紹：

項目簡介： WebGoat是OWASP組織研製出的用於進行web漏洞實驗的應用平台，用來說明web應用中存在的安全漏洞。 WebGoat運行在帶有java虛擬機的平台之上，當前提供的訓練課程有30多個，其中包括：跨站點腳本攻擊（XSS）、訪問控制、線程安全、操作隱藏 欄位、操縱參數、弱會話cookie、SQL盲注、數字型SQL注入、字元串型SQL注入、web服務、Open Authentication失效、危險的HTML注釋等等。WebGoat提供了一系列web安全學習的教程，某些課程也給出了視頻演示，指導用戶利用 這些漏洞進行攻擊。

總之感覺還真的是蠻適合新人練手的，目前所用到的工具主要就是Burpsuite和各種瀏覽器。在此感慨一句Burp真是神器啊。之前在寫之前的文章的時候接觸的大多都是自動化工具，雖然知道最後還是要靠手動去驗證。對手動測試還是會有恐懼心理。雖然Brup很早就用過，但也僅局限於抓包看看有沒有弱口令一類的。WebGoat上面的這些練習基本上結合Burp和瀏覽器本身的開發者工具都是可以完成的，當然這上面的漏洞主要都是web前端層面的。用Burp各種抓包、分析、修改去完成上面的任務，對於Burp的使用熟練度提升的也是很快。

作為一名新手，向各位新手和新新手安利一下。

Engineering For The Win.

推薦閱讀：