網頁資安一直是很熱門的一個資安議題，連後端工程師都要懂一定程度的網頁資安，一定要了解網頁的各種攻擊手法，才可以做出相對應的防衛。初學資安最好的學習方式就是親手實作，但是入門初學的話，常常會找不到一個好的訓練環境，這邊介紹給你一個全套打包、安裝容易、環境封閉的owasp broken web application讓初學網頁資安的你一次滿足。

至https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project看一下說明之後，在網站右邊有Download字樣
到下載頁面，選擇最新版本，然後看你要載7z或rar皆可，下載完解壓

創建一台虛擬機，不過不一樣的是，這次選擇使用現有的虛擬硬碟

非常方便，選擇好硬碟之後就可以直接開機了
開機之後，稍等自動安裝程序進行，如果沒有意外的話就會看到歡迎頁面

注意剛剛的頁面有一些重要的資訊

用連接阜轉送讓你的電腦可以存取到10.0.2.15:80

主機連接阜就挑一個你用不到的port吧

進入webGoat，然後輸入liunx歡迎頁面上的帳密

找一個自己要玩的攻擊手法然後完成題目
每一到題目都是情境題，有時候真的是從情境中找線索去做攻擊，不要因為是英文就忽略啊~
完成了就會有一個勾勾
當你完成了那項攻擊手法裡面的每題題目

就再找下一個你有興趣的吧~

如果整個webGoat都玩玩了
你的BWA除了webGoat還有其他很多很多的training application呦