#23ハンズオン用の事前準備資料

1. OWASP Nagoya Chapterミーティング
第23回 / ハンズオン事前準備資料
～OWASP WebGoat～
2021/11/19 ハンズオン開催予定

2. 問い合わせ先
● 本資料についての問い合わせは、下記のメールアドレスに
て受け付けます。
メールアドレス：owasp758@gmail.com
2

3. はじめに
● 当資料は、「OWASP Nagoya Chapter ミーティング 第23回 /
ハンズオン『OWASP WebGoat』」で使用するハンズオン環境
を、事前に構築するためのマニュアルです。
● ハンズオン開催日までにこの資料の手順に従い、WebGoat
の起動までを行ってください。
3

4. 注意事項
● このハンズオンで構築する環境は脆弱なアプリケーションを
利用するため、インターネットに接続しないクローズドな環境
で利用することを推奨します。
● WebGoatで学習した技術を用いて、自環境以外への興味本
位でのテストは、絶対にしないでください。
4

5. 動作環境
● 実行環境：Windows, Mac, Linuxで動作
● OWASP WebGoat：インストール不要で実行可能
8080/tcpを利用
● OpenJDK：インストール不要で実行可能
● Webブラウザ：ご自身で準備（Firefox推奨）
※本ハンズオンはFirefoxを使用して説明します。
5

6. 目次
● OWASP WebGoatとは
● ソフトウェアのダウンロード
○ OWASP WebGoat
○ OpenJDK
● WebGoatの起動
6

7. OWASP WebGoatとは
● OWASP WebGoat（https://owasp.org/www-project-webgoat/）
○ OWASPにより作成した意図的に安全でないWebアプリケーションです。
○ 一般的なサーバー側のアプリケーションの欠陥を検証できます。
○ Webアプリケーションのセキュリティと侵入テストの手法について学ぶことを目的
としています。
7

8. ソフトウェアのダウンロード
● OWASP WebGoatをダウンロードします。
○ バージョン：v8.2.2（2021年9月5日リリース）
○ ダウンロードURL：https://github.com/WebGoat/WebGoat/releases
○ ダウンロードファイル：webgoat-server-8.2.2.jar
8

9. ソフトウェアのダウンロード
● OpenJDK（Java SE Development Kit）をダウンロードします。
○ バージョン：17（2021年9月14日リリース）
○ ダウンロードURL：https://jdk.java.net/17/
○ ダウンロードファイル(Win版)：openjdk-17_windows-x64_bin.zip
ご利用環境にあわせて選択ください。
9

10. WebGoatの起動
● WebGoatとOpenJDKを任意の場所に配置します。
● コマンドプロンプト（Mac コマンドライン）より、WebGoatを起動させま
す。
○ 実行例では下記場所にファイルを配置しています。
■ WebGoat：C:tmpwebgoat-server-8.2.2.jar
■ OpenJDK：C:tmpjdk-17
※注意事項：OpenJDKは2バイト文字を含まないパスに配置
> C:tmpjdk-17binjava.exe -jar C:tmpwebgoat-server-8.2.2.jar
10

11. WebGoatの起動
● 起動が完了すると”org.owasp.webgoat.StartWebGoat ”がコン
ソールログに出力（起動完了まで30秒程度）
11
起動完了のメッセージ
起動時のコンソールログ（抜粋）

12. WebGoatの起動
● Webブラウザにて、”http://localhost:8080/WebGoat/”へ接続
すると、ログイン画面が表示されます。
ご初回ログイン
時はこちらから
カウント作成しま
す。 12

13. WebGoatの起動
● 作成したアカウントでSign inします。
● ここまでで事前準備完了です。お疲れさまでした。
13

14. WebGoatの終了
● WebGoatを起動したコマンドプロンプトで「Ctl-C」、またはコマン
ドプロンプトを閉じると、WebGoatが終了します。（WebGoatから
は終了メニューはありません。）
14

15. トラブルシュート
15
Q
コマンドプロンプトからWebGoatを起動する際に、下記エラーが発生する。
A
OpenJDKの実行パスに2バイト文字（日本語）が含まれていないか確認し
てください。
2バイト文字が含まれている場合、1バイト文字のパスへ修正して、再度
WebGoatを起動してください。
Error occurred during initialization of VM
Failed setting boot class path.

16. トラブルシュート
16
Q
コマンドプロンプトからWebGoatを起動する際に、下記エラーが発生する。
A
お使いの端末で既に8080/tcpのプログラムが実行されていないか確認し
てください。
8080/tcpが使われている場合、実行プログラムを停止した後、再度
WebGoatを起動してください。
***************************
APPLICATION FAILED TO START
***************************
Description:
Web server failed to start. Port 8080 was already in use.

17. トラブルシュート
17
Q
ブラウザでWebGoatのトップ画面が表示されない。
A
①WebGoatを起動したコンソールに起動完了メッセージ
”org.owasp.webgoat.StartWebGoat ”が出力されているか確認ください。
表示されていない場合、他のエラーメッセージ（ポートバッティング等）が
表示されていないかを確認ください。
②ブラウザにエラーが表示されていれば、エラー表示内容に
応じて、対処ください。

18. 以上
18