近年來網路技術與服務發展迅速，在享受網路所帶來的便利與益處時，網路安全的相關議題也漸漸受人關注，如過去總統府網站被駭等等。身為資工人的我們，若對網路安全漏洞一無所知，則所建構的程式與網站將很有可能成為Cracker不法的利用工具。因此許多資安相關的團體紛紛建立了模擬Web安全漏洞攻擊的平台，藉由模擬過程，程式開發人員可以更瞭解如何防範自己的程式或網站成為Cracker目標。
OWASP便是非常知名的致力於推動Web安全的非營利性組織之一，其主要目標是協助解決造成不安全Web軟體的主因，並透過開放式計畫的方式，由組織成員研發工具與撰寫技術文件，向全世界分享最新攻擊趨勢、與測試及防禦方法。
本次Lab使用OWASP所研發的Web安全漏洞攻擊平台WebGoat來模擬練習Cracker的攻擊方式，讓同學們藉由實際攻防來瞭解如何防堵資安漏洞。

Lab截止時間: 

2010/12/17

Lab前置需求:

1. 安裝WebGoat平台
    - 請下載WebGoat後解壓縮下載檔案，進入解壓縮後資料夾點擊webgoat.bat，完成後直接在瀏覽器執行 http://localhost/資料夾名稱/attack  即可。詳細安裝說明請詳閱WebGoat的Readme。
2. 使用可監看修改封包的程式或軟體，如Lab1中的Tamper Data等等

Lab目標:
WebGoat 提供許多安全漏洞功能的模擬練習，在WebGoat中，使用者可以依據不同的Cracker攻擊方式來模擬，如XSS攻擊、SQL Injection攻擊等等。本次Lab從WebGoat中選擇了8個主題，將這八個主題分為A、B兩組。請同學們完成A組後，再由B組5種模擬練習中任 選2種完成，請各位同學儘量不參考提示或解答來破關。 

WebGoat主題

小關卡中有註明DEVELOPER VERSION者可以不寫

Bonus:

完成Developer版本的關卡(需安裝WebGoat Developer Version)或額外完成其他關卡

Lab內容:
請在課程社群中張貼文章，文章請選擇Lab3分類，發文標題格式為"〔F10_WebHack〕 Lab3 學號 （後面自訂"。

 文章內容必須包含以下幾點:

1.   每一個模擬練習的背景，如XSS相關背景介紹等
2.   每一個模擬練習的破關思考方向與過程
3. 本Lab心得 
4. WebGoat的Report Card截圖(進入WebGoat平台後請點擊左手邊倒數第2項Admin Functions中的Report Card) 
5. 參考網站或資料
   

再次提醒各位同學請勿抄襲。