OWASP Broken- Lab thực hành tốt nhất cho việc học WebApp PenTest

DDos

VIP Members
22/10/2013
524
2.191 bài viết
OWASP Broken- Lab thực hành tốt nhất cho việc học WebApp PenTest
Việc học và thực hành luôn đi đôi với nhau là một trong những bí quyết để thành công. Trong hacking cũng vậy, khi bạn tiếp thu bất kỳ một kiến thức nào, hay học được cách sử dụng một công cụ nào, để nhớ lâu và hiểu được nguyên tắc của công cụ đó, chúng ta phải thực hành. Việc thực hành trên mục tiêu thực là khá khó khăn và đó có thể coi là vi phạm pháp luật. Chính vì vậy, việc chọn các bài lab để thực hành cũng là một vấn đề khá quan trọng. Trong bài viết này, mình sẽ giới thiệu tới các bạn Project OWASP Broken, một trong những project tuyệt vời cho việc học WebApp Pentest.


OWASP Broken là một tập hợp của những ứng dụng web có khả năng bị tổn thương, nó được được tạo ra sắn để chạy trên các phần mềm ảo hóa như VirtualBox, VmWare. Phiên bản mới nhất hiện tại là 1.1.1. Dưới đây là danh sách các ứng dụng có trong OWASP Broken:


Training Applications

Applications designed for learning which guide the user to specific, intentional vulnerabilities.



Realistic, Intentionally Vulnerable Applications

Applications that have a wide variety of intentional security vulnerabilities, but are designed to look and work like a real application.



Old Versions of Real Applications

Open source applications with one or more known security issues.


  • WordPress 2.0.0 (PHP, released December 31, 2005) with plugins:
  • OrangeHRM version 2.4.2 (PHP, released May 7, 2009)
  • GetBoo version 1.04 (PHP, released April 7, 2008)
  • gtd-php version 0.7 (PHP, released September 30, 2006)
  • Yazd version 1.0 (Java, released February 20, 2002)
  • WebCalendar version 1.03 (PHP, released April 11, 2006)
  • Gallery2 version 2.1 (PHP, released March 23, 2006)
  • TikiWiki version 1.9.5 (PHP, released September 5, 2006)
  • Joomla version 1.5.15 (PHP, released November 4, 2009)
  • AWStats version 6.4 (build 1.814, Perl, released February 25,2005)

Applications for Testing Tools

Applications designed for testing automated tools like web application security scanners.



Demonstration Pages / Small Applications

Little applications or pages with intentional vulnerabilities to demonstrate specific concepts.


  • OWASP CSRFGuard Test Application version 2.2 (Java)
  • Mandiant Struts Forms (Java/Struts)
  • Simple ASP.NET Forms (ASP.NET/C#)
  • Simple Form with DOM Cross Site Scripting (HTML/JavaScript)
Cách sử dụng OWASP:




Bước 1: Tải file Virtual Machine tại : http://sourceforge.net/projects/owaspbwa/files/


1490893058Screenshot from 2014-08-11 20-03-53.png


Sau đó giải nén file vừa tải về.



Bước 2: Mở VMWare, trong Tab File chọn Open a VM, rồi tìm tới thư mục bạn đã giải nén, bạn sẽ nhìn thấy như hình dưới đây:


1490893058Screenshot from 2014-08-11 20-05-22.png
Bước 3: Click vào Play virtual machine


1490893058Screenshot from 2014-08-11 20-07-25.png
Bạn đăng nhập với user name: root và password: owaspbwa.


Bước 4: Mở bất kỳ một trình duyệt web, sau đó truy cập vào địa chỉ ip bạn nhận được (trong trường hợp này là http://172.16.221.128.


1490893058Screenshot from 2014-08-11 20-08-49.png

Bạn sẽ nhìn thấy như hình dưới đây:


1490893058Screenshot from 2014-08-11 20-10-58.png

Bây giờ, bạn có thể chọn bất kỳ một WebApp nào để thực hành.


1490893058Screenshot from 2014-08-11 20-26-57.png

Cảm ơn các bạn đã đọc bài viết của mình!




Nguồn: http://daylamhacker.blogspot.com/2014/08/owasp-broken-lab-thuc-hanh-tot-nhat-cho.html


 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên