WebGoat adalah aplikasi web rentan (tidak aman) yang memungkinkan pengembang (developer) menguji celah keamanan yang umum ditemukan dalam aplikasi berbasis Java. OWASP WebGoat berisi contoh-contoh OWASP Top 10 vulnerabilities

• Sebelum menginstall OWASP WebGoat, kita perlu menginstall docker terlebih dahulu

sudo apt install -y docker.io

• Install docker-compose

sudo apt install docker-compose

• Jalankan service docker

sudo systemctl enable docker --now

• Pull docker image webgoat

sudo docker pull webgoat/webgoat

• Jalankan aplikasi WebGoat, disini kita menggunakan IP 0.0.0.0 supaya WebGoat dapat diakses di mesin lainnya seperti Kali Linux dan Time Zone yang kita gunakan adalah Asia/Jakarta. Anda bisa mengubahnya sesuai keinginan anda

sudo docker run -p 0.0.0.0:8080:8080 -p 0.0.0.0:9090:9090 -e TZ=Asia/Jakarta webgoat/webgoat

• WebGoat dapat diakses melalui URL http://<IP_SERVER>:8080/WebGoat. Setelah berhasil diakses lakukan registerasi terlebih dahulu dengan mengklik link register

• Isi sesuai kemauan anda lalu tekan tombol Sign up

• Jika register berhasil, kita akan diarahkan otomatis masuk ke aplikasi WebGoat

• Untuk WebWolf bisa diakses melalui URL http://<IP_SERVER>:9090/WebWolf. Gunakan username dan password yang sudah diregister diatas untuk Login

• Download File Jar di https://github.com/WebGoat/WebGoat/releases
• Jalankan OWASP WebGoat di port yang berbeda, misalnya port 9001

WEBGOAT_PORT=9001 java -jar webgoat-2023.4.jar

• Buka browser dan buka URL berikut ini kemudian lakukan registrasi

http://127.0.0.1:9001/WebGoat

• (A1) Broken Access Control
  • Hijack a session
  • Insecure Direct Object References(IDOR)
  • Missing Function Level Access Control
  • Spoofing an Authentication Cookie
• (A2) Cryptographic Fairules
  • Crypto Basics
• (A3) Injection
  • SQL Injection (intro)
  • SQL Injection (advanced)
  • SQL Injection (mitigation)
  • Cross Site Scripting
  • Cross Site Scripting (stored)
  • Path traversal
• (A5) Security Misconfiguration
  • XXE
• (A6) Vuln and Outdated Components
• (A7) Identity & Auth Failure
  • Authentication Bypasses
  • Insecure Login
  • JWT tokens
  • Password reset
  • Secure Passwords
• (A8) Software & Data Integrity
• (A9) Security Logging Fairules
  • Logging Security
• (A10) Server-side Request Forgery
  • Cross-Site Request Forgeries(CSRF)
  • Server-Site Request Forgery(SSRF)
• Client side
  • Bypass front-end restrictions
  • Client side filtering
  • HTML tampering
• Challenges
  • Admin lost password
  • Without password
  • Admin password reset
  • Without account

Semua materi yang disajikan disini hanya digunakan sebagai media pembelajaran. Penulis tidak bertanggung jawab atas penyalahgunaan dari materi tersebut