WebGoat คืออะไร? WebGoat คือ J2EE เว็บแอพพลิเคชั่นที่ถูกเขียนใ้ห้มีช่องโหว่ที่มักพบบ่อยๆ เพื่อใช้เป็นแบบฝึกหัดในการศึกษาเกี่ยวกับความปลอดภัยบนเว็บแอพพลิเคชั่น โดยมี Open Web Application Security Project (OWASP) เป็นผู้ดูแลโครงการ โปรแกรม WebGoat จะประกอบด้วยบทเรียนที่เกี่ยวกับช่องโหว่ต่าง ๆ ที่พบบ่อยในเว็บแอพพลิเคชั่น ซึ่งผู้ใช้โปรแกรม WebGoat จะต้องศึกษาหัวข้อนั้น ๆให้เข้าใจอย่างถ่องแ้ท้เพื่อที่จะโจมตี WebGoat ด้วยวิธีนั้น ๆได้ จึงจะผ่านบทเรียนดังกล่าว ยกตัวอย่างเช่น ในบทเรียนเรื่อง SQL Injection ผู้ใช้จะต้องโจมตีด้วย SQL Injection เพื่อขโมยหมายเลขบัตรเครดิตปลอมที่โปรแกรม WebGoat สมมติขึ้นมาได้จึงจะผ่านบทเรียนเรื่อง SQL Injection ทำไมถึงชื่อ WebGoat? โปรแกรมเมอร์ไม่ควรจะรู้สึกผิดหากพวกเขาไม่มีความรู้เกี่ยวกับความปลอดภัยบนเว็บแอพพลิเคชั่น แม้แต่สุดยอดโปรแกรมเมอร์ก็อาจจะเีขียนโปรแกรมที่มีช่องโหว่ได้ ดังนั้นเมื่อพวกเขาทำผิดพลาดโกยเปิดช่องโหว่ในเว็บให้มีคนมาโจมตีได้ สิ่งที่พวกเขาต้องการก็คือ "แพะรับบาป" เพื่อโยนความผิดเหล่านั้นให้แพะ OWASP จึงสร้าง WebGoat มาเป็นแพะให้พวกเราได้เชือดกันก่อนที่เราจะต้องหา "แพะรับบาป" จริง เวลาที่โปรแกรมที่เราเขียนถูกโจมตี 555 WebGoat สอนอะไรเราบ้าง? สี่งที่เราจะได้เรียนใน WebGoat ก็คือช่องโหว่ 10 อันดับแรกที่พบมากที่สุดในเว็บแอพพลิเคชั่น ซึ่งรวบรวมโดย OWASP Top Ten Project ซึ่งมีหัวข้อต่าง ๆ เช่น
สามารถ Download WebGoat ได้จากที่ไหน? WebGoat สามารถ Download ได้จาก OWASP Source Code Center at Sourceforge WebGoat มีเฉลยแบบฝึกหัดต่าง ๆ หรือไม่? สำหรับเวอร์ชัน 5.0 นั้นซึ่งเป็นเวอร์ชันล่าสุดยังไม่มีเฉลยมาให้ มีแต่คำบอกใบ้เพื่อให้สามารถผ่านบทเรียนนั้น ๆได้ ซึ่งผมศึกษาจนผ่านมาครบทุกบทเรียนของเวอร์ชัน 5.0 แล้ว ไว้ว่าง ๆ ผมอาจจะเีขียนเฉลยไว้ใน Blog นี้ |
|||
|
|
อยากได้เฉลย webgoat อยากลองทำบ้างอ่ะครับ
Post new comment