WebGoat - 刻意设计的不安全Web应用程序

一、关于 WebGoat

1、项目概览

WebGoat是由OWASP维护的刻意设计的不安全Web应用程序，用于教授Web应用安全课程。该项目演示了常见的服务器端应用漏洞，旨在帮助用户学习应用安全和渗透测试技术。

警告1: 运行此程序时您的机器将极易受到攻击，建议断开互联网连接使用。WebGoat默认绑定到localhost以最小化暴露风险。

警告2: 本程序仅用于教育目的。未经授权尝试这些技术很可能导致法律后果，大多数公司会解雇进行未授权黑客行为的员工。

2、相关链接资源

• Github：https://github.com/WebGoat/WebGoat
• DockerHub：https://hub.docker.com/r/webgoat/webgoat
• 最新版本：https://github.com/WebGoat/WebGoat/releases/latest
• 社区讨论：https://github.com/WebGoat/WebGoat/discussions
• Gitter聊天：https://gitter.im/OWASPWebGoat/community
• OWASP项目：https://owasp.org/projects/
• 贡献指南：https://github.com/WebGoat/WebGoat/blob/main/CONTRIBUTING.md

3、功能特性

1. 安全教学平台

   • 提供多种服务器端应用漏洞场景
   • 包含完整的安全攻防练习体系

2. 多环境支持

   • 支持Docker容器化部署
   • 提供完整Linux桌面环境镜像
   • 支持源码编译运行

二、安装配置

1、Docker运行方式

# 基础运行
docker run -it -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 webgoat/webgoat# 设置时区
docker run -it -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 -e TZ=America/Boise webgoat/webgoat# 使用代理配置
docker run -it -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 -e WEBGOAT_HOST=www.webgoat.local -e WEBWOLF_HOST=www.webwolf.local -e TZ=America/Boise webgoat/webgoat

2、带桌面环境的Docker运行

docker run -p 127.0.0.1:3000:3000 webgoat/webgoat-desktop

3、独立运行

# 设置时区后运行
export TZ=Europe/Amsterdam
java -Dfile.encoding=UTF-8 -jar webgoat-2023.8.jar# 自定义端口
java -jar webgoat-2023.8.jar --webgoat.port=8001 --webwolf.port=8002

4、源码编译运行

前提条件:

• Java 23
• Git
• Maven

git clone git@github.com:WebGoat/WebGoat.git
cd WebGoat
./mvnw clean install
./mvnw spring-boot:run

三、高级配置

1、自定义菜单

可通过环境变量排除特定类别或课程：

# 排除特定类别和课程
export EXCLUDE_CATEGORIES="CLIENT_SIDE,GENERAL,CHALLENGE"
export EXCLUDE_LESSONS="SqlInjectionAdvanced,SqlInjectionMitigations"
java -jar target/webgoat-2023.8-SNAPSHOT.jar# Docker方式
docker run -d -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 -e EXCLUDE_CATEGORIES="CLIENT_SIDE,GENERAL,CHALLENGE" -e EXCLUDE_LESSONS="SqlInjectionAdvanced,SqlInjectionMitigations" webgoat/webgoat

伊织 xAI 2025-09-20（六）