A aplicação
WebGoat foi projetada para ilustrar falhas de segurança típicas em aplicações web. Seu objetivo é ensinar uma abordagem estruturada para detectar e explorar essas vulnerabilidades no contexto de uma Avaliação de Segurança de Aplicação.
Uma metodologia completa para testes para "Avaliação de Segurança de Aplicação" está sendo documentado em
OWASP Testing Project - OWASP e isto irá proporcionar um superconjunto das questões demonstradas no WebGoat. Pode incluir uma revisão de design e do código, por exemplo. As lições do WebGoat visam dar uma formação prática e exemplos relacionados à fase de "Revisão de Implementação da OWASP" (Web Application Security Testing Methodology).
Para a pessoa que está acessando o Webgoat é dado o mesmo nível de informação e direitos de um cliente típico de uma aplicação on-line.
- A aplicação é baseado na web
- As simulações de ataque são remotas
Todas as técnicas descritas podem ser realizadas a partir de qualquer local de onde esteja conectado.
O teste é do tipo caixa-preta (black box).
O código fonte não é fornecido, mas pode ser visualizado e baixado.
Permissões e informações operacionais são fornecidas.
Naturalmente, o aspecto pedagógico do WebGoat implica que certas informações que são reveladas, não estariam normalmente disponíveis. Isto torna possível orientar o usuário através de um processo de avaliação.
O objetivo do Webgoat
Tendo seguido as técnicas demonstradas nas lições do WebGoat, o usuário deve ser capaz de:
- Compreender os processos de interações de alto nível de uma aplicação web
- Determine as informações a partir dos dados visíveis no cliente que podem ser úteis em um ataque
- Identificar e compreender os dados e interações com o usuário, que podem expor o aplicativo a ataques
- Executar testes contra essas interações para expor as falhas no seu funcionamento
- Executar ataques contra a aplicação para demonstrar e explorar vulnerabilidades
Teste de invasão (parte 2) - Enumeração de Serviços
Versão para impressora
Indicar para um amigo
Enviar artigo