자바 설치

WebGoat와 WebWolf 프로그램을 실행하려면 자바가 필요한데 최소 11버전이 필요하다. 자바 설치 및 환경 변수 설정은 구글링하면 금방 나오므로 생략하도록 하겠다. os는 윈도우가 아닌 칼리 리눅스를 사용할 것이다. 정상적으로 설치가 되었다면 터미널에 java -version 명령어를 입력했을 때 아래와 같은 결과가 나오게 된다.

$ java -version
Picked up _JAVA_OPTIONS: -Dawt.useSystemAAFontSettings=on -Dswing.aatext=true
openjdk version "11.0.7-ea" 2020-04-14
OpenJDK Runtime Environment (build 11.0.7-ea+9-post-Debian-1)
OpenJDK 64-Bit Server VM (build 11.0.7-ea+9-post-Debian-1, mixed mode, sharing)

WebGoat / WebWolf 설치

https://github.com/WebGoat/WebGoat/releases

위 주소에서 WebGoat, WebWolf를 다운로드 받을 수 있다. 다운로드 받은 파일을 터미널에서 다음과 같은 명령어로 실행하면 된다.

$ java -jar webgoat-server-8.0.0.M24.jar
$ java -jar webwolf-8.0.0.M24.jar

정상적으로 구동 후, 웹 브라우저에서 127.0.0.1:8080/WebGoat를 입력하면 아래와 같은 메인 페이지가 나오는데, Register new user를 클릭하여 계정을 생성한다. 계정 생성시 WebGoat와 WebWolf에서 로그인할 수 있다. WebWolf의 주소는 127.0.0.1:9090/WebWolf이다.

소개 페이지

- WebGoat란?

최초 로그인 시 WebGoat에 대한 소개 문구가 표시되어있다. WebGoat는 일부러 보안에 취약하도록 만든 자바 기반의 응용 프로그램이라고 한다. 즉, 취약점 테스트를 위해 실제 웹 사이트가 아닌 WebGoat라는 가상의 웹 사이트에 테스트하기 위해 만든 웹 어플리케이션이라고 할 수 있다.

- WebWolf란?

WebWolf는 공격자 시스템을 가장한 별도의 웹 어플리케이션이다. WebWolf에서는 다음과 같은 기능을 제공한다.

• 파일 업로드
  어떤 파일을 업로드하고, 이 파일에 대한 다운로드 링크를 구할 수 있다.
• 메일함
  이메일을 송수신할 수 있는 클라이언트(Mailbox)를 제공한다. 보낸 이메일은 InBox에서 확인할 수 있다.
• 랜딩 페이지
  /landing/~ 형태의 모든 요청을 보여준다. 이것으로 쿠키 탈취 등의 XSS 레슨에서 유용하게 사용할 수 있을 것이다.