Web Goat Nedir?

WebGoat OWASP (Open Web Application Security Project) tarafından geliştirilen , kastılı olarak yüzlerce açık içeren J2EE platformunda yazılmış olan, web uygulamarındaki açıkları kendi kendize öğrenebileceğiniz güvenlik test yazılımıdır. Yazılımın odak noktasında web uygulamaları yer almaktadır. Çeşitli kategorileride ki dersler ile güvenlik uzmanlarına yada web uygulaması geliştirenlere; ilgili açığı anlayabilme, çözebilme ve exploit edebilme yetenekleri kazandırmak amacındadır.

Örnek olarak SQLInjection açığı kullanarak sahte kredi kartı bilgileri ile alışveriş yapmanız istenmektedir. Bu aşamada sistemdeki form bilgilerini SQLInjection yöntemi ile atlatıp exploit edebilmeniz gerekmektedir. Eğer başarıya ulaşırsanız bir sonraki teste yönlendirilmekte ve her geçtiğiniz test için puan almaktasınız.

WebGoat içerisinde yer alan testlerini tamamı başarı ile tamamlayan kişiler bu konuda ciddi bir deyeim ve bilgi birikimine sahip olmuş olcağından ilerde yapacağı denetimlerde, uygulamalarda güvenlik risklerinide minimum düzeyde tutabilmeyi hedeflemiş olacaktır.

Temel olarak aşağıdaki konularda ( her geçen gün artan açıklara paralel olarak güncellenmektedir) testler içermektedir :

· Cross Site Scripting
· Access Control
· Thread Safety
· Hidden Form Field Manipulation
· Parameter Manipulation
· Weak Session Cookies
· Blind SQL Injectionⁱ
· Numeric SQL Injection
· String SQL Injection
· Web Services
· Fail Open Authentication
· Dangers of HTML Comments

WebGoat’ı Kimler Kullanabilir ?

Öncelikle web tabanlı uygulama geliştirenler, web tabanlı yazılım güvenliği ile uğraşanlar, kendi sitesini kurup yönetenler, sistem güvenlik uzmanları veya bu konuya ilgi duyan ve temel düzeyde bilgisi olan herkes WebGoat’ı kurup testleri çözebilir.

WebGoat’a Kendimizde Dersler Ekleyebilir miyiz?
Evet WebGoat’ın böyle bir desteği var. OWASP’ın sitesinde nasıl ders yazılacağı ile ilgili detaylı dokümanlara ulaşabilirsiniz.

Nereden İndirebilirim?

Kurulum dosyasını Google Code arşivinden :

http://code.google.com/p/webgoat/downloads/list

Detaylı bilgiler ve orijinal sitesi :

http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project

Aşağıda WebGoat ile ilgili bir kaç resim görebilirsiniz. Bir sonraki yazımıda WebGoat problemlerinin çözümlerine yer vereceğim.

XSS Yöntemi ile bir Phising Saldırısı Yapmamız Bekleniyor :

ByPass yöntemi ile Alt dizin erişimleri yapmamız isteniyor :

Session HiJacking yöntemi :

Saygılarımla,

__________________________
Murat KAYA
Navigator İş ve Bilgi Hizmetleri Yönetimi A.Ş.
Bilgi Güvenliği ve Bilişimde Kalite
Comptia Security+