{"id":1193,"date":"2025-09-23T17:26:47","date_gmt":"2025-09-23T15:26:47","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/webgoat-pour-vous-former-au-hacking-ethique\/"},"modified":"2025-09-23T17:26:47","modified_gmt":"2025-09-23T15:26:47","slug":"webgoat-pour-vous-former-au-hacking-ethique","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/webgoat-pour-vous-former-au-hacking-ethique\/","title":{"rendered":"WebGoat &#8211; Pour vous former au hacking \u00e9thique"},"content":{"rendered":"<p>Attention, si vous laissez tourner WebGoat sur votre machine, elle sera \u201c<em>extr\u00eamement vuln\u00e9rable aux attaques<\/em>\u201d. C\u2019est en tout cas ce qui est \u00e9crit en gros sur<br \/>\n<a href=\"https:\/\/owasp.org\/www-project-webgoat\/\">la page de ce projet OWASP<\/a><br \/>\n, et c\u2019est pas pour faire joli car WebGoat est une application web d\u00e9lib\u00e9r\u00e9ment pourrie, truff\u00e9e de failles de s\u00e9curit\u00e9, cr\u00e9\u00e9e expr\u00e8s pour que cous appreniez \u00e0 les exploiter.<\/p>\n<p>Et c\u2019est g\u00e9nial !!<\/p>\n<p>Car on a enfin un truc qui nous permet d\u2019apprendre vraiment comment les hackers s\u2019infiltrent dans les sites web, sans risquer de finir au tribunal. Parce que bon, scanner le site de votre voisin pour \u201c<em>apprendre<\/em>\u201d, c\u2019est direct trois ans de prison et 100 000 euros d\u2019amende. Alors qu\u2019avec WebGoat, vous pouvez tout p\u00e9ter tranquille depuis chez vous.<\/p>\n<p>\n<a href=\"https:\/\/github.com\/WebGoat\/WebGoat\">WebGoat<\/a><br \/>\n, c\u2019est donc un projet open source maintenu par l\u2019OWASP depuis des ann\u00e9es qui vous propose uune application web qui ressemble \u00e0 n\u2019importe quel site lambda, sauf qu\u2019elle est bourr\u00e9e de vuln\u00e9rabilit\u00e9s volontaires telles que des injections SQL, XSS, CSRF, contr\u00f4le d\u2019acc\u00e8s d\u00e9faillant\u2026 bref, toutes les saloperies du Top 10 OWASP sont l\u00e0, pr\u00eates \u00e0 \u00eatre exploit\u00e9es.<\/p>\n<p>\n<img decoding=\"async\" src=\"https:\/\/korben.info\/cdn-cgi\/image\/width=1200,fit=scale-down,quality=90,f=avif\/webgoat-owasp-apprendre-hacking-ethique\/webgoat-owasp-apprendre-hacking-ethique-2.png\" alt=\"\" loading=\"lazy\">\n<\/p>\n<p>Et WebGoat fonctionne comme un cours interactif car pour chaque vuln\u00e9rabilit\u00e9, vous avez trois \u00e9tapes : d\u2019abord on vous explique comment \u00e7a marche, ensuite vous devez l\u2019exploiter vous-m\u00eame via des exercices pratiques, et enfin on vous montre comment corriger le probl\u00e8me. On apprend en faisant !<\/p>\n<p>\n<a href=\"https:\/\/owasp.org\/www-project-webgoat\/\">D\u2019apr\u00e8s la doc officielle<\/a><br \/>\n, WebGoat couvre presque toutes les vuln\u00e9rabilit\u00e9s du Top 10 OWASP. Pour ceux qui ne savent pas, le Top 10 OWASP c\u2019est LA r\u00e9f\u00e9rence mondiale des failles de s\u00e9curit\u00e9 web.<\/p>\n<p>Au sein de WebGoat se cache aussi WebWolf, une application s\u00e9par\u00e9e qui simule la machine de l\u2019attaquant. \u00c7a tourne sur le port 9090 pendant que WebGoat tourne sur le 8080, comme \u00e7a, vous avez vraiment la s\u00e9paration entre ce qui se passe c\u00f4t\u00e9 victime et c\u00f4t\u00e9 attaquant. WebWolf vous permet \u00e9galement d\u2019uploader vos payloads ou outils, de recevoir des donn\u00e9es exfiltr\u00e9es, et m\u00eame de simuler un serveur mail pour les attaques de phishing.<\/p>\n<p>\n<img decoding=\"async\" src=\"https:\/\/korben.info\/cdn-cgi\/image\/width=1200,fit=scale-down,quality=90,f=avif\/webgoat-owasp-apprendre-hacking-ethique\/webgoat-owasp-apprendre-hacking-ethique-3.png\" alt=\"\" loading=\"lazy\">\n<\/p>\n<p>Et pour installer tout \u00e7a, le plus simple c\u2019est Docker :<\/p>\n<p><code>docker run -it -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 webgoat\/webgoat <\/code><\/p>\n<p>Ou si vous pr\u00e9f\u00e9rez la version standalone avec Java :<\/p>\n<p><code>java -Dfile.encoding=UTF-8 -jar webgoat-2025.3.jar<\/code><\/p>\n<p>Une fois lanc\u00e9, vous acc\u00e9dez \u00e0 WebGoat sur http:\/\/localhost:8080\/WebGoat et WebWolf sur http:\/\/localhost:9090\/WebWolf. Vous vous cr\u00e9ez un compte (c\u2019est juste en local, pas de panique) et c\u2019est parti pour les exercices !<\/p>\n<p>Les le\u00e7ons sont vraiment bien foutues. Prenez l\u2019injection SQL par exemple. D\u2019abord on vous montre comment une requ\u00eate SQL mal prot\u00e9g\u00e9e peut \u00eatre d\u00e9tourn\u00e9e. Ensuite vous devez exploiter la faille pour voler des num\u00e9ros de cartes bancaires (fausses, hein), et \u00e0 la fin, on vous explique comment utiliser les<br \/>\n<a href=\"https:\/\/docs.appsmith.com\/connect-data\/concepts\/how-to-use-prepared-statements\">prepared statements<\/a><br \/>\npour \u00e9viter ce genre de conneries.<\/p>\n<p>\n<img decoding=\"async\" src=\"https:\/\/korben.info\/cdn-cgi\/image\/width=1200,fit=scale-down,quality=90,f=avif\/webgoat-owasp-apprendre-hacking-ethique\/webgoat-owasp-apprendre-hacking-ethique-4.png\" alt=\"\" loading=\"lazy\">\n<\/p>\n<p>Et n\u2019allez pas croire que \u00e7a s\u2019adresse uniquement aux pro. Non, les d\u00e9butants ont des exercices guid\u00e9s avec des indices, et les plus avanc\u00e9s ont des \u201cchallenges\u201d sans aucune aide semblables \u00e0 des CTF (Capture The Flag).<\/p>\n<p>Et pour les d\u00e9veloppeurs, c\u2019est vraiment un super outil pour comprendre pourquoi votre chef de projet vous casse encore les pieds avec la s\u00e9curit\u00e9 ! Car, croyez-moi, une fois que vous avez r\u00e9ussi \u00e0 dumper toute une base de donn\u00e9es avec une simple apostrophe dans un formulaire, vous ne regardez plus jamais les entr\u00e9es utilisateur de la m\u00eame fa\u00e7on.<\/p>\n<p>\n<img decoding=\"async\" src=\"https:\/\/korben.info\/cdn-cgi\/image\/width=1200,fit=scale-down,quality=90,f=avif\/webgoat-owasp-apprendre-hacking-ethique\/webgoat-owasp-apprendre-hacking-ethique-1.webp\" alt=\"\" loading=\"lazy\">\n<\/p>\n<p>Attention quand m\u00eame, WebGoat n\u2019est pas un jouet. Les techniques que vous apprenez sont r\u00e9elles et fonctionneront sur de vrais sites mal s\u00e9curis\u00e9s. D\u2019ailleurs, l\u2019OWASP est tr\u00e8s clair l\u00e0-dessus : \u201c<em>Si vous tentez ces techniques sans autorisation, vous allez tr\u00e8s probablement vous faire choper<\/em>\u201d. Et n\u2019oubliez pas, comme vous ne faites partie d\u2019aucun parti politique, pour vous y\u2019aura vraiment de la zonzon.<\/p>\n<p>D\u2019ailleurs, petite conseil, quand vous faites tourner WebGoat, coupez votre connexion internet ou au moins assurez-vous qu\u2019il n\u2019\u00e9coute que sur localhost, parce que si quelqu\u2019un d\u2019autre sur votre r\u00e9seau d\u00e9couvre que vous avez une application volontairement vuln\u00e9rable qui tourne\u2026 Disons que \u00e7a pourrait mal finir ;-).<\/p>\n<p>\n<img decoding=\"async\" src=\"https:\/\/korben.info\/cdn-cgi\/image\/width=1200,fit=scale-down,quality=90,f=avif\/webgoat-owasp-apprendre-hacking-ethique\/webgoat-owasp-apprendre-hacking-ethique-5.png\" alt=\"\" loading=\"lazy\">\n<\/p>\n<p>Ah et WebGoat s\u2019int\u00e8gre super bien avec d\u2019autres outils de s\u00e9curit\u00e9. \u00c7a permet du coup de se former aussi dans la foul\u00e9e sur Burp Suite, OWASP ZAP, ou SQLMap.<\/p>\n<p>Bref, installez WebGoat ce weekend et amusez-vous \u00e0 tout casser. Vous m\u2019en direz des nouvelles !!<\/p>\n<p>Et un grand merci \u00e0 Lorenper pour l\u2019info !<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Attention, si vous laissez tourner WebGoat sur votre machine, elle sera \u201cextr\u00eamement vuln\u00e9rable aux attaques\u201d. C\u2019est en tout cas ce qui est \u00e9crit en gros sur la page de ce projet OWASP , et c\u2019est pas pour faire joli car WebGoat est une application web d\u00e9lib\u00e9r\u00e9ment pourrie, truff\u00e9e de failles de s\u00e9curit\u00e9, cr\u00e9\u00e9e expr\u00e8s pour que cous appreniez \u00e0 les exploiter. Et c\u2019est g\u00e9nial !! Car on a enfin un truc qui nous permet d\u2019apprendre vraiment comment les hackers s\u2019infiltrent dans les sites web, sans risquer de finir au tribunal. Parce que bon, scanner le site de votre voisin pour \u201capprendre\u201d, c\u2019est direct trois ans de prison et 100 000 euros d\u2019amende. Alors qu\u2019avec WebGoat, vous pouvez tout p\u00e9ter tranquille depuis chez vous. WebGoat , c\u2019est donc un projet open source maintenu par l\u2019OWASP depuis des ann\u00e9es qui vous propose uune application web qui ressemble \u00e0 n\u2019importe quel site lambda, sauf qu\u2019elle est bourr\u00e9e de vuln\u00e9rabilit\u00e9s volontaires telles que des injections SQL, XSS, CSRF, contr\u00f4le d\u2019acc\u00e8s d\u00e9faillant\u2026 bref, toutes les saloperies du Top 10 OWASP sont l\u00e0, pr\u00eates \u00e0 \u00eatre exploit\u00e9es. Et WebGoat fonctionne comme un cours interactif car pour chaque vuln\u00e9rabilit\u00e9, vous avez trois \u00e9tapes : d\u2019abord on vous explique comment \u00e7a marche, ensuite vous devez l\u2019exploiter vous-m\u00eame via des exercices pratiques, et enfin on vous montre comment corriger le probl\u00e8me. On apprend en faisant ! D\u2019apr\u00e8s la doc officielle , WebGoat couvre presque toutes les vuln\u00e9rabilit\u00e9s du Top 10 OWASP. Pour ceux qui ne savent pas, le Top 10 OWASP c\u2019est LA r\u00e9f\u00e9rence mondiale des failles de s\u00e9curit\u00e9 web. Au sein de WebGoat se cache aussi WebWolf, une application s\u00e9par\u00e9e qui simule la machine de l\u2019attaquant. \u00c7a tourne sur le port 9090 pendant que WebGoat tourne sur le 8080, comme \u00e7a, vous avez vraiment la s\u00e9paration entre ce qui se passe c\u00f4t\u00e9 victime et c\u00f4t\u00e9 attaquant. WebWolf vous permet \u00e9galement d\u2019uploader vos payloads ou outils, de recevoir des donn\u00e9es exfiltr\u00e9es, et m\u00eame de simuler un serveur mail pour les attaques de phishing. Et pour installer tout \u00e7a, le plus simple c\u2019est Docker : docker run -it -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 webgoat\/webgoat Ou si vous pr\u00e9f\u00e9rez la version standalone avec Java : java -Dfile.encoding=UTF-8 -jar webgoat-2025.3.jar Une fois lanc\u00e9, vous acc\u00e9dez \u00e0 WebGoat sur http:\/\/localhost:8080\/WebGoat et WebWolf sur http:\/\/localhost:9090\/WebWolf. Vous vous cr\u00e9ez un compte (c\u2019est juste en local, pas de panique) et c\u2019est parti pour les exercices ! Les le\u00e7ons sont vraiment bien foutues. Prenez l\u2019injection SQL par exemple. D\u2019abord on vous montre comment une requ\u00eate SQL mal prot\u00e9g\u00e9e peut \u00eatre d\u00e9tourn\u00e9e. Ensuite vous devez exploiter la faille pour voler des num\u00e9ros de cartes bancaires (fausses, hein), et \u00e0 la fin, on vous explique comment utiliser les prepared statements pour \u00e9viter ce genre de conneries. Et n\u2019allez pas croire que \u00e7a s\u2019adresse uniquement aux pro. Non, les d\u00e9butants ont des exercices guid\u00e9s avec des indices, et les plus avanc\u00e9s ont des \u201cchallenges\u201d sans aucune aide semblables \u00e0 des CTF (Capture The Flag). Et pour les d\u00e9veloppeurs, c\u2019est vraiment un super outil pour comprendre pourquoi votre chef de projet vous casse encore les pieds avec la s\u00e9curit\u00e9 ! Car, croyez-moi, une fois que vous avez r\u00e9ussi \u00e0 dumper toute une base de donn\u00e9es avec une simple apostrophe dans un formulaire, vous ne regardez plus jamais les entr\u00e9es utilisateur de la m\u00eame fa\u00e7on. Attention quand m\u00eame, WebGoat n\u2019est pas un jouet. Les techniques que vous apprenez sont r\u00e9elles et fonctionneront sur de vrais sites mal s\u00e9curis\u00e9s. D\u2019ailleurs, l\u2019OWASP est tr\u00e8s clair l\u00e0-dessus : \u201cSi vous tentez ces techniques sans autorisation, vous allez tr\u00e8s probablement vous faire choper\u201d. Et n\u2019oubliez pas, comme vous ne faites partie d\u2019aucun parti politique, pour vous y\u2019aura vraiment de la zonzon. D\u2019ailleurs, petite conseil, quand vous faites tourner WebGoat, coupez votre connexion internet ou au moins assurez-vous qu\u2019il n\u2019\u00e9coute que sur localhost, parce que si quelqu\u2019un d\u2019autre sur votre r\u00e9seau d\u00e9couvre que vous avez une application volontairement vuln\u00e9rable qui tourne\u2026 Disons que \u00e7a pourrait mal finir ;-). Ah et WebGoat s\u2019int\u00e8gre super bien avec d\u2019autres outils de s\u00e9curit\u00e9. \u00c7a permet du coup de se former aussi dans la foul\u00e9e sur Burp Suite, OWASP ZAP, ou SQLMap. Bref, installez WebGoat ce weekend et amusez-vous \u00e0 tout casser. Vous m\u2019en direz des nouvelles !! Et un grand merci \u00e0 Lorenper pour l\u2019info !<\/p>\n","protected":false},"author":1,"featured_media":1194,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"give_campaign_id":0,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_kadence_starter_templates_imported_post":false,"footnotes":""},"class_list":["post-1193","page","type-page","status-publish","has-post-thumbnail","hentry"],"campaignId":"","_links":{"self":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/1193","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/comments?post=1193"}],"version-history":[{"count":0,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/1193\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media\/1194"}],"wp:attachment":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media?parent=1193"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}