Instalar WebGoat de forma sencilla

WebGoat es una aplicación web deliberadamente vulnerable, creada para aprender y practicar lecciones de seguridad en aplicaciones web. Así que como ahora tengo tiempo me propuse instalármelo y practicar un poco, el problema vino en el momento que intenté instalarlo, ya que las instrucciones que ponen en la web son algo confusas (al menos para mí).

Si vamos a la página de descargas  (al menos en el momento de escribir éste artículo), vemos que se distribuye de dos formas: un paquete .zip para Windows (o eso se deduce, erróneamente, al leer el nombre del fichero) y en un fichero .war. Entiendo que todo aquél que vea esta situación y lo quiera desplegar en una máquina no Windows, se bajaría el .war, instalaría un Tomcat, desplegaría la aplicación y luego configuraría el Tomcat para que la aplicación funcione correctamente. El problemilla es que esas configuraciones no están documentadas en ningún lado y las tienes que ir viendo por “ingeniería inversa” (como mínimo vi que se tenían que definir los roles en tomcat-users.xml). Pues vaya rollo ¿no? Aunque para un sysadmin como yo, con los huevos “pelaos” de desplegar aplicaciones sobre Tomcat, tampoco sería un trabajo muy arduo 😛

Aunque si le echamos un ojo al paquete para Windows, vemos que hay un directorio con la aplicación desplegada y el Tomcat configurado. Y como Tomcat está escrito en Java pues “Run everywhere” y usamos este paquete para nuestro Linux:

cd /tmp
wget -c http://webgoat.googlecode.com/files/WebGoat-5.4-OWASP_Standard_Win32.zip
unzip WebGoat-5.4-OWASP_Standard_Win32.zip
mv WebGoat-5.4/tomcat /opt/WebGoat-5.4
chmod +x /opt/WebGoat-5.4/bin/catalina.sh
ln -s /opt/WebGoat-5.4/bin/catalina.sh /etc/init.d/WebGoat

De este modo ya podemos levantar/parar la aplicación WebGoat mediante

/etc/init.d/WebGoat start
/etc/init.d/WebGoat stop

Y por defecto la tendremos escuchando por el puerto 8080, por lo que entramos a http://hostname:8080/WebGoat/attack y ya podemos empezar a jugar 🙂

PD: Ya sé que para mis avezados lectores esta advertencia no es necesaria, pero por si acaso. Recordad que esta aplicación es vulnerable por lo que no la instaléis en ninguna máquina que sea accesible desde Internet.

Anuncios