OWASP WebGoat

Hace 2 semanas salió la versión 8.0.0.M14 de OWASP WebGoat y está disponible en su repositorio oficial de GitHub.

WebGoat es una aplicación intencionalmente insegura mantenida por OWASP, diseñada para enseñar demostrar las vulnerabilidades más comunes en aplicaciones Web dando soporte educacional para buenas prácticas de seguridad
En cada lección, los usuarios deben demostrar su entendimiento de una issue de seguridad explotando una vulnerabilidad real en la aplicación de WebGoat.


What's new?
Para los que conocieron las versiones anteriores, esta última versión está más orientada a ser una plataforma de enseñanza que sólo de hacking. Ahora se explican las vulnerabilidades, se dan tareas para aprender como explotar la vulnerabilidad y se describen posibles escenarios de mitigación.

 Herramientas requeridas
Guía de instalación:
Los pasos para la instalación y ejecución de la aplicación en Windows, Linux, OS X y FreeBSD pueden encontrarse en Link

 WebGolf
WebGolf es una aplicación completamente separada que se puede utilizar para resolver las tareas de WebGoat. WebGolf permite hostear archivos, recibir y mails y serve como landing page. Existe una lección de WebGoar respecto a como iniciarse en el uso de WebGolf.

Licencia
El proyecto WebGoat de OWASP es libre de usar y está licenciado bajo GPLv2.

Comentarios

Publicar un comentario

Entradas populares de este blog

Introduccion a x86 ASM - Registros

Imagen
Assembler no es un lenguaje. Es una familia de lenguajes dependientes de la arquitectura de los procesadores. Esta familia de lenguajes es fundamental en ingeniería inversa. Me fascina el concepto de ingeniería inversa aunque aún soy un lego casi total en la materia: esta guía también me sirve a mi. Por otra parte, demasiados desarrolladores no saben lo que es la ingeniería inversa y demasiados desarrolladores piensan en Assembler como si fuera un lenguaje de programación obsoleto. Esta serie de entradas, inspirada en esta otra Guía de la Universidad de Virginia pretende ser una guía introductoria al lenguaje assembler usado en los procesadores Intel x86. Como guía introductoria cubre solamente una pequeña porción (pero útil) de las directivas e instrucciones disponibles. Así como existen un lenguaje ensamblador para cada arquitectura, existen varios lenguajes para generar código máquina para procesadores x86. Esta guía utiliza el assembler de Microsoft Macro Assembler (MASM) , q...
Leer más

JS: Triángulo de Pascal

Hoy, un pequeño problema de código Javascript. El siguiente snippet pretende crear un triángulo de Pascal . Al constructor Triangle se le pasa el número de filas que se quiere generar para la solución. La función fillRows() llama a fillRow(numRow) una vez por cada fila que se quiere generar. La función fillRow(numRow) se encarga de poner los números que van en cada posición de cada fila. Para ello usa un Array llamado row donde pone auxiliarmente los valores antes de agregarlos a this.rows . Estarán de acuerdo conmigo si les digo que el console.log() comentado como log "B" debería devolver lo mismo que el de la línea 5 -log "A"-. Pero no. Los resultados de cada console.log para new Triangle(2).rows son: Log "B": [[1], [1, 1]]. Log "A": [[1], undefined]. Es decir, this.rows tiene los valores correctos dentro de la función fillRow(numRow) pero no fuera de ella. ¿Cuál es el problema?¿Es una cuestión de scopes?¿Debería cambiar la...
Leer más

Legacy Trash (II)

Segunda entrega de este paseo por una aplicación PHP sangrienta. Después de pasar los ojos sobre un montón de líneas de código cuya complejidad solo es justificable en caso de que el programador estuviera realmente preocupado por su estabilidad laboral y después de encontrar: -Una simpática variable llamada $cúmulo. -Un script cuyo título era el nombre y apellido del autor. -Un comentario /***SEGUIMOS***/ , que me tranquilizó porque pensé que ya no estábamos siguiendo... Encontré un par de cosas más interesantes. Dialecto simplificado function quitarAcentos($cad) { //40 lineas de código que no quiero discutir $arr['z']='s'; $arr['ce']='se'; $arr['ci']='si'; $arr['ge']='je'; $arr['gi']='ji'; $arr['v']='b'; $arr['ll']='y'; $arr[' h']=' '; $arr['x']=''; foreach ($arr as $i => $v) { $cad=str_replace($i,$v,$cad); } } ¿Vieron eso? a...
Leer más