文章目录
一、关于 WebGoat
1、项目概览
WebGoat是由OWASP维护的刻意设计的不安全Web应用程序,用于教授Web应用安全课程。该项目演示了常见的服务器端应用漏洞,旨在帮助用户学习应用安全和渗透测试技术。
警告1: 运行此程序时您的机器将极易受到攻击,建议断开互联网连接使用。WebGoat默认绑定到localhost以最小化暴露风险。
警告2: 本程序仅用于教育目的。未经授权尝试这些技术很可能导致法律后果,大多数公司会解雇进行未授权黑客行为的员工。
2、相关链接资源
- Github:https://github.com/WebGoat/WebGoat
- DockerHub:https://hub.docker.com/r/webgoat/webgoat
- 最新版本:https://github.com/WebGoat/WebGoat/releases/latest
- 社区讨论:https://github.com/WebGoat/WebGoat/discussions
- Gitter聊天:https://gitter.im/OWASPWebGoat/community
- OWASP项目:https://owasp.org/projects/
- 贡献指南:https://github.com/WebGoat/WebGoat/blob/main/CONTRIBUTING.md
3、功能特性
-
安全教学平台
- 提供多种服务器端应用漏洞场景
- 包含完整的安全攻防练习体系
-
多环境支持
- 支持Docker容器化部署
- 提供完整Linux桌面环境镜像
- 支持源码编译运行
二、安装配置
1、Docker运行方式
bash
# 基础运行
docker run -it -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 webgoat/webgoat
# 设置时区
docker run -it -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 -e TZ=America/Boise webgoat/webgoat
# 使用代理配置
docker run -it -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 -e WEBGOAT_HOST=www.webgoat.local -e WEBWOLF_HOST=www.webwolf.local -e TZ=America/Boise webgoat/webgoat2、带桌面环境的Docker运行
bash
docker run -p 127.0.0.1:3000:3000 webgoat/webgoat-desktop3、独立运行
bash
# 设置时区后运行
export TZ=Europe/Amsterdam
java -Dfile.encoding=UTF-8 -jar webgoat-2023.8.jar
# 自定义端口
java -jar webgoat-2023.8.jar --webgoat.port=8001 --webwolf.port=80024、源码编译运行
前提条件:
- Java 23
- Git
- Maven
bash
git clone git@github.com:WebGoat/WebGoat.git
cd WebGoat
./mvnw clean install
./mvnw spring-boot:run三、高级配置
1、自定义菜单
可通过环境变量排除特定类别或课程:
bash
# 排除特定类别和课程
export EXCLUDE_CATEGORIES="CLIENT_SIDE,GENERAL,CHALLENGE"
export EXCLUDE_LESSONS="SqlInjectionAdvanced,SqlInjectionMitigations"
java -jar target/webgoat-2023.8-SNAPSHOT.jar
# Docker方式
docker run -d -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 -e EXCLUDE_CATEGORIES="CLIENT_SIDE,GENERAL,CHALLENGE" -e EXCLUDE_LESSONS="SqlInjectionAdvanced,SqlInjectionMitigations" webgoat/webgoat伊织 xAI 2025-09-20(六)