Computer

WebGoat 5.4 + 프록시 포트 세팅

로볼키 2016. 10. 5. 00:38

세팅하느라 하도 애먹어서 기록.

혹시 이걸 참고하시는 분이 있다면, 컴퓨터에 따라 세팅이 바뀔 '수도' 있다는 점을 참고하세요.



WebGoat란? OWASP(Open Web Application Security Project)에서 나오는 웹 보안 학습용 패키지

현재 최신버전은 Github에 있는 7.x 대 버전이나, 수업에는 구글 코드에 있는 5.4버전으로 진행.

실행 OS는 윈도우. 
5.2버전은 리눅스용 소스가 있으나 5.4는 없어서 그냥 윈도우에서 5.4로 진행.



1. WebGoat 설치 및 실행

위 링크에서 필요한 버전 다운로드.

나는 [WebGoat-5.4-OWASP_Standard_Win32.zip] 사용.

압축 풀고 webgoat_8080.bat 실행하면 톰캣이 열리며 localhost:8080/WebGoat/attack 페이지를 열 준비 끝.




2. 웹브라우저 및 프록시 세팅

 웹브라우저는 파이어폭스를 권장. 브라우저 한정으로 프록시를 걸 수가 있어서, 파이어폭스로 WebGoat만 실행하고 타 브라우저로 찾아보는 일을 하기가 쉽다. 뭐 필요한 사이트 예외처리 해줘도 되긴 하지만 귀찮으니까... 

(IE와 크롬은 모두 윈도우 자체의 인터넷 설정을 바꿈)

 프록시 프로그램으로는 예전에 잠시나마 썼던 Paros, 그리고 이번에 처음 써 본 WebScarab 두 가지를 설명. 

 (이 둘의 세팅방법이 달랐던 것이 이 글을 작성하게 된 계기임)


 1) Firefox와 WebScarab 

  - Firefox 

   Options -> Advanced -> Network에서 Connection Settings

   Manual proxy configuration 선택하고, HTTP Proxy에 127.0.0.1, 포트는 8008

   Use this proxy server for all protocols 체크, No Proxy for 부분은 비워둠

  - WebScarab 

   Tools->Proxies 에서 HTTP Proxy, HTTPS Proxy 모두 주소는 127.0.0.1, 포트는 8080

   (WebGoat가 서비스되는 톰캣의 포트)


 2) Firefox와 Paros

  - Firefox

   위와 설정은 동일 (127.0.0.1, 8008포트)

  - Paros

   Tools->Options->Local proxy에서 Address에 127.0.0.1, 포트는 8008



 즉, Paros는 웹브라우저의 프록시 세팅과 같게 가져가면 되나, 

     WebScarab는 브라우저 프록시가 아닌 WebGoat 서비스 포트 8080을 적어야 정상 사용이 가능한 것.



 참고로 Paros와 WebScarab을 동시에 실행하면, 어느 한 쪽은 작동하지 않습니다.


 각각의 경우 데이터 전송이 잘 되며, WebScarab의 Intercept = Paros의 Trap 기능 모두 잘 작동함을 확인할 수 있었습니다.


728x90