文章目录
- 实验要求
- 实验步骤
- 一、在IntelliJ上安装插件配置规则库
- 二、下载WebGoat源代码
- 三、Find Security Bugs工具静态分析WebGoat
实验要求
用Find Security Bugs(http://find-sec-bugs.github.io)工具静态分析WebGoat。WebGoat是OWASP组织研制出的用于进行Web漏洞实验的应用平台,官方网址是http:/www.owasp.org.cn/owasp-project/webscan-platform。WebGoat运行在带有Java虚拟
机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问
控制、线程安全、操作隐藏字段、操纵参数、弱会话Cookie、SQL盲注、数字型SQL注入、
字符串型SQL注入和Wb服务等。完成实验报告。
实验步骤
一、在IntelliJ上安装插件配置规则库
1、下载安全漏洞规则库Find-Sec-Bugs。
下载网址:https://find-sec-bugs.github.io/download.htm
Find-Sec-Bugs 是扫描插件 FindBugs的 Java 安全漏洞规则扩展库,它支持在多种主流 IDE 环境进行安装:Eclipse, IntelliJ, Android Studio 和 NetBeans。只扫描 Java 代码,支持主流的 Java 开发框架,比如 Spring-MVC, Struts 等。通过扫描源代码,能够发现131种(version 1.9.0)不同的安全漏洞类型。详见Find-sec-bugs官网:http://find-sec-bugs.github.io/bugs.htm
2、安装SpotBugs插件并重启IDE。
3、添加漏洞规则库
4、设置
二、下载WebGoat源代码
1、在如下界面选择源代码压缩包下载。
三、Find Security Bugs工具静态分析WebGoat
1、使用IntelliJ Idea打开WebGoat源代码项目,选择分析代码
2、分析结果展示
