La aplicación WebGoat para conocer a fondo las vulnerabilidades OWASP Top 10

 En el mundo de la seguridad de aplicaciones web la lista OWASP Top 10 , que hemos comentado en anteriores entradas, representa las vulnerabilidades más frecuentes que hay que evitar. Sin embargo, no siempre es sencillo entender los conceptos que se manejan en la lista y por ello la gente de la OWASP Foundation ha creado una aplicación JavaEE deliberadamente insegura.

 Esta aplicación insegura es la que se denomina WebGoat, como un juego de palabras con ScapeGoat, chivo expiatorio en inglés, y permite a los desarrolladores Java familiarizarse con todas las vulnerabilidades más comunes.

 El código y las instrucciones de instalación de WebGoat se encuentran disponibles de forma pública en GitHub: WebGoat download tanto en su forma más sencilla (Easy Run) en un fichero jar, como en la versión con código fuente que viene empaquetada como un proyecto para Maven.

Página de inicio de WebGoat

Google App Engine y Java 1.7

 Con el cambio de Windows 8 64 bit desde un Windows de 32 bit y el correspondiente formateo de mi portátil, he tenido que reinstalar el entorno que utilizo para desarrollar aplicaciones Java en Google App Engine. 

 Es un entorno bastante estándar con Eclipse, el JDK de Java y los plugin de Google para Eclipse y cuando hago instalaciones limpias normalmente trabajo con la última versión de cada componente; sin embargo, en este caso tras instalar todo y sufrir unos cuantos errores fui al site de App Engine y me di cuenta de que por el momento Google App Engine no es compatible con Java 1.7. Se supone que existe una opción dentro del comando appcfg.cmd para forzar el uso de Java 1.7 en una aplicación (--use_java7  Use the App Engine Java 7 runtime for this app.) pero yo no lo supe hacer funcionar. Lo bueno: basta con desinstalar Java y reinstalar el SDK de la versión 1.6 para que todo vuelva a funcionar.