WebGoat — это намеренно небезопасное веб-приложение java, которое преследует цель обучения практической безопасности веб-приложения.

Если мы больше узнаем о нем информации, то выяснится, что это проект от OWASP, в комплекте со скриптами идет и web-сервер (Apache TomCat).

Данное приложение кроссплатформенное и существует установка на основные операционные системы, такие как Linux, Windows, Mac OS.

Особенность данного приложения в том, что нужно не просто что-то выполнить, а получить вполне конкретный результат. Когда результат будет достигнут, это будет отмечено в списке всех заданий.

Еще важно отметить то, что это Java-приложение, а соответственно у Вас должен быть установлен Java JRE.

Установку будем рассматривать на Linux.

Как правило в дистрибутивах Kali Linux и Parrot Security OS при своевременном обновлении уже установлена последняя версия Java.

Проверим с помощью команды «java -version»:

Как видим, актуальная версия от 15 января 2019 года установлена. На самом деле есть еще более свежая версия, но в данном случае это не столь важно, так как в мануале по установке WebGoat на Github прописано, что можно использовать от 11 версии, а у меня 11.0.2.

Если у Вас по какой-либо причине не установлена свежая версия, то установите ее с помощью команды: «sudo apt-get install default-jre».

Далее идем на официальный сайт проекта OWASP, вот ссылка: https://www.owasp.org/index.php/Category%3AOWASP_WebGoat_Project

Как видим, в описании нас отправляют на GitHub, чтобы скачать последний релиз WebGoat.

Идем по ссылке: https://github.com/WebGoat/WebGoat/releases

Выбираем самый свежий релиз от 8 февраля 2019 года и скачиваем файл webgoat-server-8.0.0.M24.jar:

Он весит не много, около 76.2 MB. Далее идем в папку Downloads и копируем данный архив в более приемлемое место, но можно запускать и из этой директории, кому как удобно. Я создал отдельную директорию «WEBGOAT», в директории «Documents»:

Теперь нам нужно запустить этот файл, с помощью команды: «java -jar», предварительно перейдя в директорию месторасположения сервера:

Жмем «Enter» и дожидаемся запуска сервера:

Переходим в браузер, в моем случае это «Mozilla Firefox», и вводим в адресной строке: «http://localhost:8080/WebGoat/login». Попадаем на стартовую страницу Webgoat, где нам нужно зарегистрировать нового пользователя:

Регистрация простая и нужно ввести Username, Password (минимум 6 символов), и согласиться с условиями использования данного веб-приложения. Описано, что по дефолту (как Вы уже заметили), WebGoat работает в локальной сети и настоятельно не рекомендуется использовать подключение в интернет. Имейте это ввиду, так как данный сервер уязвим (он для этого и разрабатывался):

А так всем хорошего пентеста, и до новых встреч!