【软件安全实验】使用Find Security Bugs工具静态分析WebGoat

实验要求

用Find Security Bugs(http://find-sec-bugs.github.io)工具静态分析WebGoat。WebGoat是OWASP组织研制出的用于进行Web漏洞实验的应用平台，官方网址是http:/www.owasp.org.cn/owasp-project/webscan-platform。WebGoat运行在带有Java虚拟
机的平台之上，当前提供的训练课程有30多个，其中包括：跨站点脚本攻击(XSS)、访问
控制、线程安全、操作隐藏字段、操纵参数、弱会话Cookie、SQL盲注、数字型SQL注入、
字符串型SQL注入和Wb服务等。完成实验报告。

实验步骤

一、在IntelliJ上安装插件配置规则库

1、下载安全漏洞规则库Find-Sec-Bugs。
下载网址：https://find-sec-bugs.github.io/download.htm
　　Find-Sec-Bugs 是扫描插件 FindBugs的 Java 安全漏洞规则扩展库，它支持在多种主流 IDE 环境进行安装：Eclipse, IntelliJ, Android Studio 和 NetBeans。只扫描 Java 代码，支持主流的 Java 开发框架，比如 Spring-MVC, Struts 等。通过扫描源代码，能够发现131种(version 1.9.0)不同的安全漏洞类型。详见Find-sec-bugs官网：http://find-sec-bugs.github.io/bugs.htm

2、安装SpotBugs插件并重启IDE。

3、添加漏洞规则库

4、设置

二、下载WebGoat源代码

1、在如下界面选择源代码压缩包下载。

三、Find Security Bugs工具静态分析WebGoat

1、使用IntelliJ Idea打开WebGoat源代码项目，选择分析代码

2、分析结果展示