Passos fáceis para criar Web Testing Lab Penetração em Kali Linux
Enquanto firewalls tradicionais e outros controles de segurança de rede são uma importante camada de qualquer Programa de Segurança da Informação, eles não podem defender ou alerta contra muitos dos vetores de ataque específicas para aplicações web. É fundamental para uma organização para garantir que suas aplicações web não são suscetíveis a tipos comuns de ataque.
As melhores práticas sugerem que uma organização deve realizar um teste de aplicações web, além de avaliações periódicas da segurança, a fim de garantir a segurança de suas aplicações web.
Neste artigo vou explicar-lhe uma lista de aplicações vulneráveis comuns da Internet para construir seu primeiro laboratório de testes de penetração da web no Kali Linux.
OWSAP Mantra
Mantra - Livre e Open Source baseado em navegador de Bases da Segurança, é uma coleção de ferramentas livres e de código aberto integrados em um navegador web.
OWASP Mantra é uma versão do Firefox tecnologia de segurança dedicada que integra um arsenal de ferramentas para fazer uma auditoria completa e depurar seus aplicativos online.
Mantra é uma estrutura de segurança que pode ser muito útil na realização de todas as cinco fases de ataques, incluindo o reconhecimento, verificação e contagem, o acesso, a escalada de privilégios, mantendo o acesso, e faixas de apoio. Além disso, ele também contém um conjunto de ferramentas orientadas para os desenvolvedores web e depuradores de código que torna muito conveniente para ambas as tarefas de segurança relacionadas com a segurança ofensivas e defensivas.
Leia meu artigo anterior para configurar OWASP Mantra: Como instalar OWASP Mantra em linux kali
DVWA (Dam aplicação vulnerável Web)
Este
PHP / MySQL aplicação web vulnerável é uma das aplicações web mais
famosos usados para testar suas habilidades ou em testes de penetração
web e seu conhecimento no manual SQL Injection, XSS, Cego SQL
Injection, etc. DVWA é desenvolvido por Ryan Dewhurst aka ethicalhack3r e
é parte do projeto RandomStorm OpenSource.
Tente abaixo comando para baixar DVWA
#wget -c http://kaz.dl.sourceforge.net/project/dvwa/DVWA-1.0.7.zip Descompacte o download e copiar dvwa pasta no sistema de computador → Arquivo → var → www
Definir a permissão de DVWA em 755 para este Termianl aberto e tipo
#chmod -R 755 / var / www / dvwa
Executar o Apache para este ir para a Aplicação → kali linux → Sistema → Serviço HTTP → apache2start
# / etc / init.d / apache2 restart
Execute My SQL para este ir para a Aplicação → kali linux Serviço → Sistema → MySQL → start mysql
Tente abaixo comando para baixar DVWA
#wget -c http://kaz.dl.sourceforge.net/project/dvwa/DVWA-1.0.7.zip Descompacte o download e copiar dvwa pasta no sistema de computador → Arquivo → var → www
Definir a permissão de DVWA em 755 para este Termianl aberto e tipo
#chmod -R 755 / var / www / dvwa
Executar o Apache para este ir para a Aplicação → kali linux → Sistema → Serviço HTTP → apache2start
# / etc / init.d / apache2 restart
Execute My SQL para este ir para a Aplicação → kali linux Serviço → Sistema → MySQL → start mysql
# / etc / init.d / start mysql
Agora Criar banco de dados para dvwa
Abra o Terminal e digite
#mysql -u root -p
dvwa banco de dados #create;
#Saída
Você logon com êxito.
NOWASP Multillide
Mutillidae - é uma aplicação web livre e open source para testes de penetração e hacking site que foi desenvolvido por Adrian "Irongeek" Crenshaw e Jeremy "webpwnized" Druin. Ele é projetado para ser explorável e vulnerável e ideal para praticar suas habilidades de Web Fu como injeção de SQL, cross site scripting, injeção HTML, injeção Javascript, clickjacking, a inclusão de arquivos local, os métodos de autenticação de bypass, a execução remota de código e muito mais baseado no OWASP ( Segurança de Aplicações Open Web) Top 10 Vulnerabilties WebBaixar versão mais recente do Mutillidae
#wget -c http://ncu.dl.sourceforge.net/project/mutillidae/mutillidae-project/LATEST-mutillidae-2.6.10.zip
Descompacte a versão mais recente (a única pasta no arquivo ZIP é a pasta "Mutillidae")
#unzip q LATEST-mutillidae-2.6.10.zip
Copie a versão mais recente de / var / www
#cp -R Mutillidae / var / www /
Abra o Terminal e digite
#mysql -u root -p
Mutillidae banco de dados #create;
#Saída
A configuração é feita através da abertura da /var/www/mutillidae/classes/MySQLHandler.php e adicione sua senha de root Mysql
O início do projecto é feito navegando até http: // localhost / Mutillidae e clicando no botão Reset-DB na barra de menu.
Navegue até http: // localhost / Mutillidae
WebGoat
WebGoat é um projeto OWASP e uma aplicação J2EE deliberadamente inseguro web projetado para ensinar lições de segurança de aplicativos web e conceitos. O que é legal sobre esta aplicação web é que ela permite que os usuários demonstrar a sua compreensão de um problema de segurança através da exploração de uma vulnerabilidade real na aplicação em cada lição.#wget -c https://webgoat.googlecode.com/files/WebGoat-OWASP_Standard-5.3_RC1.7z
WebGoat é um ambiente independente da plataforma. Ele utiliza Apache Tomcat eo ambiente de desenvolvimento JAVA.
Para instalar o Java, tente abaixo comando
# apt-get install openjdk-6-jre
Descompacte o WebGoat-OWASP_Standard-xxzip para seu diretório de trabalho
# p7zip -d WebGoat-OWASP_Standard-5.3_RC1.7z
#cd WebGoat-5.3_RC1
Definir JAVA_HOME para apontar para a instalação JDK
#export JRE_HOME = / usr / lib / jvm / java-6-openjdk-amd64 / bin /../
#export CATALINA_BASE =. / tomcat
#export CATALINA_HOME =. / tomcat
#export JAVA_HOME = / usr / lib / jvm / java-6-openjdk-amd64 / bin /../
#chmod + x webgoat.sh
# p7zip -d WebGoat-OWASP_Standard-5.3_RC1.7z
#cd WebGoat-5.3_RC1
Definir JAVA_HOME para apontar para a instalação JDK
#export JRE_HOME = / usr / lib / jvm / java-6-openjdk-amd64 / bin /../
#export CATALINA_BASE =. / tomcat
#export CATALINA_HOME =. / tomcat
#export JAVA_HOME = / usr / lib / jvm / java-6-openjdk-amd64 / bin /../
#chmod + x webgoat.sh
Desde a versão mais recente é executado em uma porta privilegiada, você vai precisar para iniciar / parar WebGoat como root.
início webgoat.sh #sh
parada webgoat.sh #sh
inicie o navegador e navegue para ... http: // localhost / WebGoat / ataque Entre em como: user = convidado, password = convidado
Felicitações!, Agora você terminar de criar o seu primeiro teste de laboratório penetração web.
É isso aí, fazer usar os sistemas vulneráveis e compreender vulnerabilidades.
