簡介

WebGoat是OWASP組織研製出的用於進行web漏洞實驗的Java靶場程式，用來說明web應用中存在的安全漏洞。WebGoat執行在帶有java虛擬機器的平臺之上，當前提供的訓練課程有30多個，其中包括：跨站點指令碼攻擊（XSS）、訪問控制、執行緒安全、操作隱藏欄位、操縱引數、弱會話cookie、SQL盲注、數字型SQL注入、字串型SQL注入、web服務、Open Authentication失效、危險的HTML註釋等等。WebGoat提供了一系列web安全學習的教程，某些課程也給出了視訊演示，指導使用者利用這些漏洞進行攻擊。

GitHub地址為https://github.com/WebGoat/WebGoat

安裝部署（Docker）

docker run -it -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 -e TZ=Europe/Amsterdam webgoat/webgoat

啟動後截圖

使用

開啟地址 http://127.0.0.1:8080/WebGoat 

 註冊一個新使用者

註冊一個使用者，註冊完後返回登入，進入介面如上

Jwt Token 漏洞

開啟地址 http://127.0.0.1:8080/WebGoat/start.mvc#lesson/JWT.lesson

 這個題目的意思是根據以下令牌找出使用者名稱

eyJhbGciOiJIUzI1NiJ9.ew0KICAiYXV0aG9yaXRpZXMiIDogWyAiUk9MRV9BRE1JTiIsICJST0xFX1VTRVIiIF0sDQogICJjbGllbnRfaWQiIDogIm15LWNsaWVudC13aXRoLXNlY3JldCIsDQogICJleHAiIDogMTYwNzA5OTYwOCwNCiAgImp0aSIgOiAiOWJjOTJhNDQtMGIxYS00YzVlLWJlNzAtZGE1MjA3NWI5YTg0IiwNCiAgInNjb3BlIiA6IFsgInJlYWQiLCAid3JpdGUiIF0sDQogICJ1c2VyX25hbWUiIDogInVzZXIiDQp9.9lYaULTuoIDJ86-zKDSntJQyHPpJ2mZAbnWRfel99iI
 

通過https://jwt.io/ 解析上面令牌

 找出使用者名稱 "user_name": "user"

 可以看出驗證通過