WebGoat是一个平台无关的Web安全漏洞实验环境，该环境需要Apache Tomcat和JAVA开发环境的支持。 它分别为Microsoft Windows和UN*X环境提供了相应的安装程序，下面我们将根据操作系统分别加以介绍。
安装Java和Tomcat

注意：从版本5开始，这一步可以省略。

安装Java

   1. 您可以从http://java.sun.com/downloads/安装和部署合适的版本，最低版本要求为1.4.1。

安装Tomcat

   1. 您可以从http://tomcat.apache.org/download-55.cgi安装和部署Tomcat。

安装到Linux系统

   1. 将WebGoat-OWASP_Standard-x.x.zip解压至您的工作目录。
   2. 将webgoat.sh文件中的第17、19和23行中的“1.5”改为“1.6”。
   3. 因为最新版本运行在一个特权端口上，所以您需要使用下列命令来启/停WebGoat Tomcat：
         1. 当作为root用户运行在80端口时，使用：

            sudo sh webgoat.sh start80
            sudo sh webgoat.sh stop

         2. 当运行在8080端口时，使用：

            sh webgoat.sh start8080
            sh webgoat.sh stop

安装至OS X（Tiger 10.4+）系统

   1. 将WebGoat-OWASP_Standard-x.x.zip解压至您的工作目录。
   2. 将webgoat.sh文件中的第10行中的“1.5”改为“1.6”。
   3. 因为最新版本运行在一个特权端口上，所以您需要使用下列命令来启/停WebGoat Tomcat：
         1. 当作为root用户运行在80端口时，使用：

            sudo sh webgoat.sh start80
            sudo sh webgoat.sh stop

         2. 当运行在8080端口时，使用：

            sh webgoat.sh start8080
            sh webgoat.sh stop

安装至FreeBSD系统

   1. 使用下面的命令来安装Tomcat和Java ：

      cd /usr/ports/www/tomcat55
      sudo make install

   2. 安装Java JDK的时候，可能需要手工方式进行下载，届时系统会给出详细的提示。
   3. 将WebGoat-OWASP_Standard-x.x.zip解压至您的工作目录。
   4. 将webgoat.sh文件中的第17、19和23行中的“1.5”改为“1.6”。
   5. 因为最新版本运行在一个特权端口上，所以您需要使用下列命令来启/停WebGoat Tomcat：
         1. 当作为root用户运行在80端口时，使用：

            sudo sh webgoat.sh start80
            sudo sh webgoat.sh stop

         2. 当运行在8080端口时，使用：

            sh webgoat.sh start8080
            sh webgoat.sh stop

运行方法

   1. 启动浏览器，并在地址栏输入http://localhost/WebGoat/attack，注意这里使用的大写的字母W和G。
   2. 登录时，用户帐号使用guest，密码为guest。

构建方法

如果您只想运行WebGoat，那么就可以跳过这一步骤。

WebGoat是使用eclipse WTP 1.5.x进行构建的，构建WebGoat应用程序的操作说明请参考Goodle code。

在现有Tomcat服务器上安装WAR文件

将.war文件放到Tomcat的webapps目录中，这里不要解压，因为它是自解压的。 您可能还需解决几个问题，详情请参考Webgoat FAQ。