Многие компании, специализирующиеся на обучении специалистов по информационной безопасности, готовят для своих подопечных всевозможные кейсы после прохождения теоретической части. Их можно сравнить с задачками по математике на вступительных экзаменах, но в нашем случае это задания в контексте пентеста. Но как правило эти разработки являются особенностью компании проводящей обучение и не попадают в публичный доступ.
Аналогичные решения предлагают и энтузиасты, демонстрируя на них различные приемы взлома. За основу своих стендов они часто берут старые версии известных продуктов, в которых полно неисправленных уязвимостей, а иногда такие кейсы пишут с нуля. Некоторые из площадок хостятся прямо в Интернете, предлагая пройти задания, другие же предполагают установку приложений на свой собственный веб-сервер, и третьи, являющиеся наиболее распространенным вариантом, предоставляются в виде образа виртуальной машины.
И так, приступи к обзору.
1. Buggy web application (bWAPP)
Официальный сайт
bWAPP - это открытый проект тестирования веб-приложений на безопасность, доступный всем желающим как для свободного скачивания так и безприпятственного использования. Файл представляет собой образ виртуальной машины базирующийся на Ubuntu Linux, и предназначенный для поиска и эксплуатации уязвимостей в веб-приложениях.Представляет из себя Linux сервер с предустановленным bWAPPом.
На сайте разработчика есть описание
А так же за помощью можно обратиться в
Полное
2. Damn Vulnerable Web Application (DVWA)
Официальный сайт
DVWA - это проект сообщества британских специалистов ИБ. Система предоставляет возможность проверить свои навыки поиска и изучения уязвимостей, содержит новые инструменты помогающие веб-разработчикам лучше понять принципы и процессы обеспечения безопасности веб-приложений.
В качестве платформы выбрана наиболее популярная связка PHP/ MySQL. Если хочешь сэкономить время на настройке веб-сервера, все отлично заведется на готовых сборках: Denwer’е (
Получить учебные материалы можно заглянув на официальную
Скачать сам обарз и исходники к нему с
3. OWASP WebGoat
Официальный сайт
OWASP WebGoat это официальная сборка от сообщества OWASP включающая ОС на базе Linux и установленный веб-сервер со всеми имеющимися уязвимостями необходимыми для понимания
Реализована база для проведения около 30 различных видов атак. Последняя версия проекта. Проект OWASP WebGoat - это кроссплатформенный инструмент, его можно запустить в любой ОС, в которой будут работать Apache Tomcat и Java SDK.
Задания, как правило, привязаны к какой-либо реальной проблеме. Например, в одном из заданий предлагается провести SQL-инъекцию с целью украсть список поддельных кредитных номеров. Так же некоторые задания сопровождаются учебной составляющей, показывающей пользователю полезные хинты и уязвимый код.
Всю информациюп по проекту можно получить на
Раздел для
4. Metasploitable 2
Официальный сайт
Metasploitable 2 - это специально подготовленная виртуальная машина, заточенная на демонстрацию максимального количества уязвимостей с помощью программы Metasploit Framework, обзор которой, мы уже публикование ранее в
В отличие от других уязвимых виртуальных машин, Metasploitable 2 фокусируется на уязвимостях в операционной системе Linux и сетевых сервисах, а не на отдельных приложениях. В предустановленной ОС заранее открыты все порты и присутствуют наиболее известные уязвимости, некоторые из которых вы можете встретить в реальной жизни на действующих системах.
Загрузить сам образ и документацию можно на
Руководство Metasploitable 2 Exploitability Guide можно найти на официальном сайте по
5. Mutillidae
Официальный сайт
Как сообщает сам автор проекта поначалу он собирался только снять несколько видеоурков по пентесту веб-приложений для для новичков с объяснением основ этого ремесла. Но когда же дело дошло до поиска подходящей платформы автор попал впросак. Пришлось создавать платформу с ноля. Так и родился проект Mutillidae.
Разработчик взял список из уже хорошо известных нам десяти типов уязвимостей OWASP Top 10: SQL-инжекции, XSS,CSRF и т.д., и написал скрипты так, чтобы желающий мог попробовать свои силы в эксплуатировании каждой из них. Код намеренно написан очень просто, чтобы облегчить понимание. Как и DWVA, проект легко устанавливается как под Windows так и под Linux.
Скачать образ и необходимую документацию можно на
Аналогичные решения предлагают и энтузиасты, демонстрируя на них различные приемы взлома. За основу своих стендов они часто берут старые версии известных продуктов, в которых полно неисправленных уязвимостей, а иногда такие кейсы пишут с нуля. Некоторые из площадок хостятся прямо в Интернете, предлагая пройти задания, другие же предполагают установку приложений на свой собственный веб-сервер, и третьи, являющиеся наиболее распространенным вариантом, предоставляются в виде образа виртуальной машины.
И так, приступи к обзору.
1. Buggy web application (bWAPP)
Официальный сайт
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
bWAPP - это открытый проект тестирования веб-приложений на безопасность, доступный всем желающим как для свободного скачивания так и безприпятственного использования. Файл представляет собой образ виртуальной машины базирующийся на Ubuntu Linux, и предназначенный для поиска и эксплуатации уязвимостей в веб-приложениях.Представляет из себя Linux сервер с предустановленным bWAPPом.
На сайте разработчика есть описание
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
А так же за помощью можно обратиться в
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Полное
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
имеющихся уязвимостей2. Damn Vulnerable Web Application (DVWA)
Официальный сайт
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
DVWA - это проект сообщества британских специалистов ИБ. Система предоставляет возможность проверить свои навыки поиска и изучения уязвимостей, содержит новые инструменты помогающие веб-разработчикам лучше понять принципы и процессы обеспечения безопасности веб-приложений.
В качестве платформы выбрана наиболее популярная связка PHP/ MySQL. Если хочешь сэкономить время на настройке веб-сервера, все отлично заведется на готовых сборках: Denwer’е (
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
) или XAMPP’е ( Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
).Получить учебные материалы можно заглянув на официальную
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Скачать сам обарз и исходники к нему с
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
3. OWASP WebGoat
Официальный сайт
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
OWASP WebGoat это официальная сборка от сообщества OWASP включающая ОС на базе Linux и установленный веб-сервер со всеми имеющимися уязвимостями необходимыми для понимания
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
, о котором мы писали в прошлых статьях Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
и Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
.Реализована база для проведения около 30 различных видов атак. Последняя версия проекта. Проект OWASP WebGoat - это кроссплатформенный инструмент, его можно запустить в любой ОС, в которой будут работать Apache Tomcat и Java SDK.
Задания, как правило, привязаны к какой-либо реальной проблеме. Например, в одном из заданий предлагается провести SQL-инъекцию с целью украсть список поддельных кредитных номеров. Так же некоторые задания сопровождаются учебной составляющей, показывающей пользователю полезные хинты и уязвимый код.
Всю информациюп по проекту можно получить на
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Раздел для
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
4. Metasploitable 2
Официальный сайт
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Metasploitable 2 - это специально подготовленная виртуальная машина, заточенная на демонстрацию максимального количества уязвимостей с помощью программы Metasploit Framework, обзор которой, мы уже публикование ранее в
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
. Образ идеально подходит для тренировки как новичкам так и гуру пен-теста.В отличие от других уязвимых виртуальных машин, Metasploitable 2 фокусируется на уязвимостях в операционной системе Linux и сетевых сервисах, а не на отдельных приложениях. В предустановленной ОС заранее открыты все порты и присутствуют наиболее известные уязвимости, некоторые из которых вы можете встретить в реальной жизни на действующих системах.
Загрузить сам образ и документацию можно на
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Руководство Metasploitable 2 Exploitability Guide можно найти на официальном сайте по
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
5. Mutillidae
Официальный сайт
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
Как сообщает сам автор проекта поначалу он собирался только снять несколько видеоурков по пентесту веб-приложений для для новичков с объяснением основ этого ремесла. Но когда же дело дошло до поиска подходящей платформы автор попал впросак. Пришлось создавать платформу с ноля. Так и родился проект Mutillidae.
Разработчик взял список из уже хорошо известных нам десяти типов уязвимостей OWASP Top 10: SQL-инжекции, XSS,CSRF и т.д., и написал скрипты так, чтобы желающий мог попробовать свои силы в эксплуатировании каждой из них. Код намеренно написан очень просто, чтобы облегчить понимание. Как и DWVA, проект легко устанавливается как под Windows так и под Linux.
Скачать образ и необходимую документацию можно на
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
