1、测试版本Webtool 测试时间 2008.06.09测试人 陈昊测试平台Windows XPTestcase测试地点前提条件1 安装并配置好 jdk(jdk-6-windows-i586)2 安装并配置好 tomcat(tomcat-5.5.17)3 有 WebGoat安装包(WebGoat-5.1.war)备注:建议 jdk1.4以上,tomcat4.0 以上编号原始需求 测试步骤 预期结果实际结果1 到 tomcat 的安装目录的 webapps 目录,将 WebGoat-5.1.war 复制到 webapps 目录下2 重启 tomcat 后打开浏览器,输入http:/localhos
2、t:8080/WebGoat-5.1/attack出现WebGoat的用户登录窗口出现登录窗口3 输入用户名 guest 密码 guest点击“确定”点击确定进入 WebGoat开始页面进入WebGoat开始页面4 点击“取消”则取消登录 取消登录 取消登录1 安装 WebGoat5 点击页面下部中央的“Start WebGoat” 进入WebGoat页面进入WebGoat页面安装成功1 双击安装程序 webtool setup.exe,进行WebTool的安装进入webtool安装程序进入安装界面2 点击“下一步” ,显示用户许可协议, 进入用户许可协议界面,显示用户许可协议 3 拉动下拉式
3、滚动条 查看用户许可协议可以查看用户许可协议3 用户选择“我同意该许可协议的条款“ 进行选择户许可协议进行选择户许可协议4 点击“下一步” ,并输入用户名和公司名,用户名 user 和公司名 company进入用户信息界面输入用户信息可以输入用户名和公司名5 点击“下一步” ,要求选择安装路径,默认安装在 C:Program filesWebTool,用户可根据需要点击“更改“按钮进入文件夹窗口选择目的文件夹来修改该路径进入安装路径界面,选择安装目的文件夹可以选择安装路径2 安装 WebTool6 点击“下一步” ,选择创建快捷方式的 进入快捷方 可以选择创类别:只对当前用户安装快捷方式快捷方
4、式对所有用户都可用式界面 建快捷方式7 点击“下一步” ,确认安装的配置有安装路径 与创建快捷方式进入安装确认界面可以看到安装信息8 点击“下一步” ,程序开始安装,可以看到安装滚动条,安装一般需要几分钟进入安装界面可以看到安装滚动条9 程序安装完毕,会提示安装成功,点击“完成”即完成安装完成安装 完成安装退出安装界面1 开始-所有程序 -WebTool-卸载WebTool,点击卸载 WebTool,进入卸载界面进入卸载WebTool程序界面进入了卸载界面2 提示是否卸载 WebTool点击“取消“,取消 WebTool卸载程序取消卸载WebTool关闭卸载取消卸载WebTool关闭卸载3 点
5、击“下一步” ,卸载程序开始卸载WebTool,开启卸载WebTool进入卸载滚动条3 卸载 WebTool程序4 卸载完成,点击“完成” ,关闭窗口,此时程序卸载成功完成卸载 将 SSCA 卸载完成卸载退出界面4 打开 webtool 打开 WebTool系统:方式一:双击桌面 WebTool图标方式二:开始-所有程序-WebTool-WebTool打开WebTool系统打开了WebTool系统5 新建 WebGoat扫描任务webtool 主界面,在任务名称栏输入“WebGoat1”,在 URL栏输入要扫描的站点 http:/localhost:8080/WebGoat-5.1/attac
6、k可以输入任务名称与URL输入任务名称与 URL1在菜单栏中单击“文件”会出现文件菜单的下拉式选项,选择点击“新建扫描”出现提示窗口显示“当前扫描未保存,放弃并开启新扫描?”,下有两个选择按钮“OK”“Cancel”出现提示窗口显示“当前扫描未保存,放弃并开启新扫描?”,下有两个选择按钮“OK”“Cancel”2点击“OK” 放弃并开启新扫描,进入主界面进入主界面6 通过菜单栏新建立 WebGoat扫描任务3点击“Cancel”:放弃当前操作 放弃当前操 放弃当前操作 作4点击“OK”,然后在任务名称栏输入“WebGoat1”,在 URL栏输入要扫描的站点 http:/localhost:80
7、80/WebGoat-5.1/attack建立扫描任务可以输入任务名称与URL建立扫描任务可以输入任务名称与URL1输入完任务名称及要扫描 URL后要进入配置窗口对任务进行配置方式一:点击主界面右下角“高级”按钮方式二:点击菜单栏“配置”-”选项”进入配置窗口, 进入了配置窗口2 输入 Http基本认证信息 输入 Http基本认证信息输入 Http基本认证信息3输入扫描参数(证书选择、Cookie、域、本地代理地址、本地代理端口、超时时间、休眠时间、扫描深度、规则库)输入扫描参数(证书选择、Cookie、域、本地代理地址、本地代理端口、超时时间、休眠时间、扫描深度、规则库)输入扫描参数(证书选
8、择、Cookie、域、本地代理地址、本地代理端口、超时时间、休眠时间、扫描深度、规则库)4点击右下角“确定“ 完成配置进入主界面完成配置进入主界面7 配置 WebGoat扫描任务5 点击左下角“取消“, 取消配置进入主界面取消配置进入主界面1 点击 “下一步“ 进入下一步界面成功进入下一步界面2 点击中间“浏览器登录 “按钮 打开WebTool Browser窗口打开了WebTool Browser窗口8 进入扫描前步骤3在弹出的登录窗口中输入用户名密码均为“guest”,点击“登录”WebTool Browser窗口出现OWASP WebGoat V5.1的页面WebTool Browser
9、窗口出现OWASP WebGoat V5.1的页面4 在 OWASP WebGoat V5.1的页面下方中央点击“Start WebGoat”进入 Start WebGoat页面进入 Start WebGoat页面5在 WebTool界面点击“开始扫描”按钮 进入扫描页面并且在预扫描窗口的待扫描站点显示要扫描的站点进入了扫描页面并且在预扫描窗口的待扫描站点显示要扫描的站点6 点击待扫描站点的树结构 当前网站结构信息显示在左侧树中当前网站结构信息显示在左侧树中1开始预扫描选中预扫描窗口中的待扫描站点,然后点击右侧的“开始预扫描”按钮开始预扫描页面,并显示当前预扫描进度条预扫描页面,并显示当前预扫
10、描进度条2暂停预扫描单击右侧“暂停预扫描”预扫描进度条停止,左侧按钮显示“恢复预扫描”右侧按钮显示“终止预扫描”预扫描进度条停止,左侧按钮显示“恢复预扫描”右侧按钮显示“终止预扫描”3若点击“终止预扫描” 跳过预扫描,“开始扫描”按钮显示可用跳过预扫描,“开始扫描”按钮显示可用4恢复预扫描单击“恢复预扫描”预扫描恢复,右侧按钮显示“停止预扫描”预扫描恢复,右侧按钮显示“停止预扫描”9 预扫描5 预扫描结束当右侧显示“预扫描完成”完成预扫描右侧显示“预扫描完成”“开始扫描”按钮变可用右侧显示“预扫描完成”“开始扫描”按钮变可用1单击左侧“任务管理”按钮 进入任务管理页面,出现任务列表进入任务管理
11、页面,出现任务列表10 预扫描时按钮操作“任务管理”2选中正在预扫描的任务,单击任务列表界面上的“修改”显示webtool对话框“放弃显示webtool对话框“放弃现有扫描并载入扫描”,并有两个选择项“OK”“Cancel”现有扫描并载入扫描”,并有两个选择项“OK”“Cancel”3单击“OK” 放弃当前扫描进入主界面重新创建扫描放弃当前扫描进入主界面重新创建扫描4单击“Cancel” 放弃此次操作回到任务管理界面放弃此次操作回到任务管理界面5选中正在预扫描的任务,单击任务列表界面上的“删除”弹出提示对话框“删除所选项目“和两个选项“OK”“Cancel”弹出提示对话框“删除所选项目“和两个
12、选项“OK”“Cancel”6单击“OK” 放弃当前扫描并删除放弃当前扫描并删除7单击“Cancel” 放弃此次操作放弃此次操作8 点击“查看扫描结果” 会打开一个result的xml文件打开result- WebGoat1.xml查看扫描结果9点击“导出结果文件” 弹出导出结果保存窗口弹出导出结果保存窗口10 默认目录是“My Documents”点击右侧下拉式按钮,可以选择保存路径“D:结果”在 File Name栏输入结果文件 webgoat1可已选择保存结果文件的目地目录和文件名可已选择保存结果文件的目地目录和文件名11点击“Save” 保存结果文件保存结果文件12 点击“Cancel
13、” 取消导出结果保存取消导出结果保存13 点击导航栏“任务向导” 进入正在预扫描的任务界面进入正在预扫描的任务界面1点击左侧“日志查看”按钮 进入日志查看界面进入日志查看界面11 预扫描页面时按钮操作“日志查看” 2在日志查看窗口有日期,点击某个日期 可以查看某个日期的使可以查看某个日期的使用记录 用记录3 点击导航栏“任务向导” 进入正在预扫描的任务界面进入正在预扫描的任务界面1单击“开始扫描” 页面扫描开始,显示正在扫描的页面,扫描显示进度条,扫描结果下显示存在漏洞的页面页面扫描开始,显示正在扫描的页面,扫描显示进度条,扫描结果下显示存在漏洞的页面2单击“暂停扫描” 扫描停止,“暂停扫描”
14、变为“恢复扫描”扫描停止,“暂停扫描”变为“恢复扫描”3单击“恢复扫描” 扫描从之前暂停的地方继续开始扫描从之前暂停的地方继续开始4单击“停止扫描” 出现对话框“确定停止扫描?”,并有“Yes”“No”“Cancel”三个选择项出现对话框“确定停止扫描?”,并有“Yes”“No”“Cancel”三个选择项5单击“Yes” 扫描终止,进度条返回至开始处扫描终止,进度条返回至开始处12 扫描页面6单击“No”或“Cancel” 扫描继续进行直至扫描完成扫描继续进行直至扫描完成1单击左侧“任务管理”按钮 进入任务管理页面,出现任务列表进入任务管理页面,出现任务列表13 扫描页面时按钮操作“任务管理”
15、2单击任务列表界面上的“修改” 显示webtool对话框“放弃现有扫描并载入扫描”,并有两个选择项“OK” “Cancel”显示webtool对话框“放弃现有扫描并载入扫描”,并有两个选择项“OK” “Cancel”3单击“OK” 放弃当前扫描进入主界面重新创建扫描任务放弃当前扫描进入主界面重新创建扫描任务4单击“Cancel” 放弃此次操作回到任务管理界面放弃此次操作回到任务管理界面5选中正在预扫描的任务,单击任务列表界面上的“删除”弹出删除提示窗口“删除所选项目”和两个选项两个选择项“OK” “Cancel”弹出删除提示窗口“删除所选项目”和两个选项两个选择项“OK” “Cancel”6单
16、击“OK” 放弃当前扫描并删除放弃当前扫描并删除7单击“Cancel” 放弃此次操作放弃此次操作8 点击“查看扫描结果” 会打开一个result的xml文件打开result- WebGoat1.xml查看扫描结果9点击“导出结果文件” 弹出导出结果保存窗口弹出导出结果保存窗口10 默认目录是“My Documents”点击右侧下拉式按钮,可以选择保存路径“D:结果”在 File Name栏输入结果文件名webgoat1可已选择保存结果文件的目地目录和文件名可已选择保存结果文件的目地目录和文件名11点击“Save” 保存结果文件保存结果文件12 点击“Cancel” 取消导出结果保存取消导出结果
17、保存13 点击导航栏“任务向导” 进入正在扫描的任务界面进入正在扫描的任务界面1点击左侧“日志查看”按钮 进入日志查看界面进入日志查看界面14 扫描页面时按钮操作“日志查看” 2在日志查看窗口有日期,点击某个日期 可以查看某个日期的使用记录可以查看某个日期的使用记录3 点击导航栏“任务向导” 进入正在扫描的任务界面进入正在扫描的任务界面1在扫描页面的扫描结果一栏中的存在漏洞的页面中选中一条在进度条下方框内可见该页面的漏洞描述等相关的漏洞信息在进度条下方框内可见该页面的漏洞描述等相关的漏洞信息2漏洞信息 漏洞信息包括TestName、DescriptionImpactRecommendation
18、等描述漏洞信息包括TestName、DescriptionImpactRecommendation等描述15 查看存在漏洞的页面及漏洞信息2 选中一条存在漏洞的页面,然后双击 打开WebTool Browser显示的是含有漏洞的页面打开WebTool Browser显示的是含有漏洞的页面1 当扫描完成后,点击导航栏“任务管理”按钮进入任务管理界面进入任务管理界面2 选中刚才完成的扫描任务,点击“导出扫描结果”弹出导出结果保存窗口弹出导出结果保存窗口3默认目录是“My Documents”点击右侧下拉式按钮,可以选择保存路径“D:结果”在 File Name栏输入结果文件名webgoat1可已选
19、择保存结果文件的目地目录和文件名可已选择保存结果文件的目地目录和文件名4点击“Save” 保存结果文件保存结果文件5 点击“Cancel” 取消导出结果保存取消导出结果保存16 导出扫描结果6点击导航栏“任务向导” 进入正在扫描的任务界面进入正在扫描的任务界面1 在扫描页面查看进度条下漏洞信息 可以查看漏洞信息可以查看漏洞信息17 扫描完成后查看扫描结果2 点击航栏“任务管理”进入任务管理界面点击“查看结果文件”打开结果文件 result可以查看结果信息打开结果文件 result可以查看结果信息3找到 result.xml,双击打开 可以打开result.xml,查看结果信息能够打开resul
20、t.xml,查看结果信息1 新建一个任务 建立一个任务建立一个任务18 扫描任务保存2 点击菜单栏的“文件”-”保存” 进入保存对话框进入保存对话框1点击菜单栏的“文件”-”另存为” 进入另存为对话框进入另存为对话框2默认保存路径“My Documents”点击右侧下拉式按钮选择要保存的目的文件夹可以选择保存目的文件夹能够选择保存目的文件夹3 在 File Name栏输入任务名称任务类型为“scan file”类型能够输入任务名称输入了任务名称4 点击右下角的“Save” 将任务保存下来,进入主界面将任务保存下来,进入主界面19 另存扫描任务5点击“Cancel” 放弃任务保存进入主界面放弃任
21、务保存进入主界面1单击菜单栏“文件”-”打开扫描” 进入打开扫描任务窗口进入了打开扫描任务窗口2默认“My Documents”点击右侧的下来时菜单,找到保存的任务后缀为.session的任务文件,选中他能够在文件夹系统找到任务文件并选中在文件夹系统找到任务文件并选中3 点击“Open” 能打开保存任务打开了保存任务20 打开扫描任务4 点击“Cancel” 放弃此次操作并回主界面放弃此次操作并回主界面1 可以点击导航栏“日志查看”按钮 进入日志查看界面进入日志查看界面21 打开日志查看2点击菜单栏“任务”-”日志查看” 进入日志查看界面进入日志查看界面1 点击导航栏“任务管理”按钮 进入任务
22、管理界面进入任务管理界面22 打开任务管理2点击菜单栏“任务”-” 任务管理” 进入任务管理界面进入任务管理界面23 打开任务向导 1单击“任务向导” 进入正在进行的任务进入正在进行的任务1点击菜单栏“帮助” 显示下拉菜单“关于webtool”显示下拉菜单“关于webtool”24 打开帮助2点击“关于 webtool” 显示帮助信息显示帮助信息1 点击菜单栏“配置”-“选项” 进入配置窗口进入配置窗口25 打开配置窗口2在主界面点击右下角“高级” 进入配置窗口进入配置窗口1点击菜单栏“配置”-“选项” 打开配置窗口 对话框包括“HTTP 基本认证信息”和“扫描参数”可填信息的文本框,以及对话
23、框下端的“取消”和“确定”打开配置窗口2在“HTTP 基本认证信息”的“Name”和“Password”输入信息能够输入“HTTP基本认证信息”的“Name”和“Password”的信息能够输入“HTTP基本认证信息”的“Name”和“Password”的信息26 输入配置信息3在“扫描参数”下面的项中输入扫描参数(证书选择、Cookie、域、本地代理地址、本地代理端口、超时时间、休眠时间、扫描深度、规则库)本地代理地址:默认为 127.0.0.1本地代理端口:默认为 8008超时时间:默认为 5000(范围 1000-10000)休眠时间:默认为 5000(范围 1000-10000)扫描深
24、度:默认为 5(范围 1-10)规则库:默认为 form(有formallall+nikto可供输入选择)能够输入“证书选择”,“Cookie”,“域”,“超时时间”,“休眠时间”,“深度扫描能够输入“证书选择”,“Cookie”,“域”,“超时时间”,“休眠时间”,“深度扫描4点击“取消” 配置取消退出配置窗口配置取消退出配置窗口5点击“确定” 高级设置生效,退出对话框高级设置生效,退出对话框1 点击菜单栏“文件”-”退出” 弹出提示退出系统窗口弹出提示退出系统窗口2 点击“OK” 退出系统 退出系统3 点击“Cancel” 取消退出操作取消退出操作4 点击界面的右上角的关闭按钮 弹出提示退
25、出系统窗口弹出提示退出系统窗口5 点击“OK” 退出系统 退出系统27 退出 WebTool6 点击“Cancel” 取消退出操作取消退出操作1 到 tomcat 的安装目录的 webapps 目录,将 insecure.war 复制到 webapps 目录下复制成功 复制成功28 安装 insecure2 重启 tomcat 后打开浏览器,输入http:/localhost:8080/insecure 出现 insecure的用户页面出现 insecure的用户页面1打开 WebTool系统:方式一:双击桌面 WebTool图标方式二:开始-所有程序-WebTool-WebTool打开web
26、tool进入主界面打开webtool进入主界面2在任务名称栏输入“insecure1”,在URL栏输入要扫描的站点http:/localhost:8080/insecure能够输入任务名及任务页面能够输入任务名及任务页面3点击 “下一步” 进入下一步界面进入下一步界面4点击中间“浏览器登录”按钮 打开WebTool Browser窗口,窗口显示为insecure未登陆页面打开WebTool Browser窗口,窗口显示为insecure未登陆页面5若要指定以当前页面为开始扫描页面,点击 WebTool Browser地址栏右侧“指定扫描页面”按钮,点击“OK”弹出提示窗口“待扫描页面信息” 选
27、中指定开始页面弹出提示窗口“待扫描页面信息” 选中指定页面29 建立登陆前的insecure 扫描任务6 若以任务 URL为开始页面,直接点击“开始扫描”进入扫描页面并且在预扫描窗口的进入扫描页面并且在预扫描窗口的待扫描站点显示要扫描的站点待扫描站点显示要扫描的站点1 WebTool界面点击“开始扫描”按钮 进入扫描页面并且在预扫描窗口的待扫描站点显示要扫描的站点进入扫描页面并且在预扫描窗口的待扫描站点显示要扫描的站点30 预扫描未登录的 insecure任务2选中预扫描窗口中的待扫描站点,然后点击右侧的“开始预扫描”按钮预扫描开始 预扫描开始31 扫描未登录的insecure任务右侧显示“预
28、扫描完成”“开始扫描”按钮显示可用,单击“开始扫描”开始扫描 开始扫描1当扫描完成后,点击导航栏“任务管理”按钮进入任务管理界面进入任务管理界面32 结果查看2点击“查看结果文件” 打开结果文件 result可以查看结果信息打开结果文件 result可以查看结果信息1选中刚才完成的扫描任务,点击“导出扫描结果”弹出导出结果保存窗口弹出导出结果保存窗口33 导出结果2选择保存结果文件的目地目录和文件名,点击“Save” 保存结果文件保存结果文件1 双击 webtool文件夹下的 run.bat 打开webtool进入主界面打开webtool进入主界面2在任务名称栏输入“insecure1”,在U
29、RL栏输入要扫描的站点http:/localhost:8080/insecure能够输入任务名及任务页面能够输入任务名及任务页面3击 “下一步” 进入下一步界面进入下一步界面4击中间“浏览器登录”按钮 打开WebTool Browser窗口,窗口显示为insecure未登陆页面打开WebTool Browser窗口,窗口显示为insecure未登陆页面5点击页面右侧的“Customer Login” 进入登录页面进入登录页面34 建立登陆后的insecure 扫描任务6输入 Name:admin;Password:secret,然后点击 Login进入已登录insecure页面进入已登录ins
30、ecure页面1 WebTool界面点击“开始扫描”按钮 进入扫描页面并且在预扫描窗口的待扫描站点显示要扫描的站点进入扫描页面并且在预扫描窗口的待扫描站点显示要扫描的站点35 预扫描已登录的 insecure任务2选中预扫描窗口中的待扫描站点,然后点击右侧的“开始预扫描”按钮预扫描开始 预扫描开始36 扫描已登录的insecure任务右侧显示“预扫描完成”“开始扫描”按钮显示可用,单击“开始扫描”开始扫描 开始扫描1当扫描完成后,点击导航栏“任务管理”按钮进入任务管理界面进入任务管理界面37 结果查看2点击“查看结果文件” 打开结果文件 result可以查看结果信息打开结果文件 result可以查看结果信息1选中刚才完成的扫描任务,点击“导出扫描结果”弹出导出结果保存窗口弹出导出结果保存窗口38 导出结果2选择保存结果文件的目地目录和文件名,点击“Save” 保存结果文件保存结果文件
