测试开发必备技能:安全测试漏洞靶场实战

于 2022-04-11 13:45:07 发布
阅读量4.1k 收藏 4
点赞数
分类专栏: 自动化测试 技术分享 文章标签: 软件测试 自动化测试 测试类型 测试工程师 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangjunsss/article/details/124097336
版权

安全在互联网行业,是一个对专业性较强,且敏感的一个领域,所谓"一念成佛,一念入魔",安全技术利用得当,可以为你的产品、网站更好的保驾护航,而如果心术不正,利用安全漏洞去做一些未法牟利,则容易造成承担不必要的违法责任。

在日常很容易被大家忽略的一点,在非授权的情况下,对网站进行渗透攻击测试,也是属于非合规操作,是触及法律法规的。因此对于大家在学习安全测试过程中,通常建议是直接在本地直接搭建安全演练靶场环境,尽量避免直接对非授权的网站进行测试。

掌握安全测试是测试开发工程师进阶的一项硬技能,今天这篇文章,就来给大家分享两款常用安全测试演练靶场项目。

▌ WebGoat

WebGoat 是由 OWASP 组织研制出的用于进行 Web 漏洞实验的 Java 靶场程序。提供的训练课程有 30 多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话 cookie、SQL 盲注、数字型 SQL 注入、字符串型 SQL 注入、web 服务、Open Authentication 失效、危险的 HTML 注释等等。WebGoat 提供了一系列 web 安全学习的教程,某些课程也给出了视频演示,指导用户利用这些漏洞进行攻击。

项目地址:

https://github.com/WebGoat/WebGoat

1.1 安装前置条件说明

进入到项目地址,选择 WebGoat 的 jar 版本,由于 WebGoat 8 的 jar 文件已自带了 tomcat 和数据库,所以不需要再另外安装 tomcat 和 mysql,只需要安装 jdk 用于运行 jar 文件即可。

需要说明的是,WebGoat8.0 以上的版本,需要安装依赖 JDK11 以上。

下载完成后,其中:

  • webgoat-server-8.1.0.jar对应的是webgoat服务,用于启动WebGoat。

  • webwolf-8.1.0 另一个含有漏洞的辅助系统,非必需。

1.2 启动方法

通过 java -jar xxx.jar 分别启动 webgoat 和 webwolf 两个 jar 程序,例如:

执行成功后,就可以通过链接http://127.0.0.1:8080/WebGoat访问 Webgoat。

首先需要注入一个账号,然后登陆后,按照 WebGoat 的侧边顺序一项一项进行测试。

目前 WebGoat 分为三类,LessonChallenges/CTFWebWolf
其中 Lesson 为课程,每个课程中包括漏洞描述,成因,以及练习,


WebWolf 的启动方式基本一致,WebWolf 的默认端口为 9090,登录地址http://127.0.0.1:9090/WebWolf/login,WebWolf 的账户与 WebGoat 是相通的,使用 WebGoat 的账户可以直接登录 WebWolf。

▌ DVWA

DVWA(Damn Vulnerable Web Application)是一款比较著名的漏洞靶场,采用 PHP+Mysql 编写的一套用于常规 WEB 漏洞教学和检测的 WEB 脆弱性测试程序。包含了 SQL 注入、XSS、盲注等常见的一些安全漏洞。旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助 web 开发者更好的理解 web 应用安全防范的过程。

官网:https://dvwa.co.uk/

DVWA 共有十个模块,分别是:

  1. Brute Force(暴力(破解))

  2. Command Injection(命令行注入)

  3. CSRF(跨站请求伪造)

  4. File Inclusion(文件包含)

  5. File Upload(文件上传)

  6. Insecure CAPTCHA(不安全的验证码)

  7. SQL Injection(SQL 注入)

  8. SQL Injection(Blind)(SQL 盲注)

  9. XSS(Reflected)(反射型跨站脚本)

  10. XSS(Stored)(存储型跨站脚本)

2.1 搭建方法

如果是在 Windows 上搭建 DVWA,安装过程主要分为两步:

  • phpstudy 下载以及安装。

  • DVWA 下载及配置。

1、 由于 DVWA 需要运行在有数据库/服务器等多种环境下,我们一般选用集成了这些环境的 phpStudy: https://www.xp.cn/,这个工具可以在官网下载,如下:

2、下载完成,按要求,傻瓜式安装即可,安装完成后,打开启动Apache、MySQL两个服务。

3、下载 DVWA,将压缩包解压到 phpstudy 的 WWW 目录下。并且找到 DVWA\config 下面的 config.ini.php.dist 文件,修改其中的用户名密码,按需修改即可。最后将后缀.dist 删除,文件名为:config.inc.php,内容如下:

<?php
# If you are having problems connecting to the MySQL database and all of the variables below are correct# try changing the 'db_server' variable from localhost to 127.0.0.1. Fixes a problem due to sockets.#   Thanks to @digininja for the fix.
# Database management system to use$DBMS = 'MySQL';#$DBMS = 'PGSQL'; // Currently disabled
# Database variables#   WARNING: The database specified under db_database WILL BE ENTIRELY DELETED during setup.#   Please use a database dedicated to DVWA.## If you are using MariaDB then you cannot use root, you must use create a dedicated DVWA user.#   See README.md for more information on this.$_DVWA = array();$_DVWA[ 'db_server' ]   = '127.0.0.1';$_DVWA[ 'db_database' ] = 'dvwa';$_DVWA[ 'db_user' ]     = 'root';$_DVWA[ 'db_password' ] = '123456';$_DVWA[ 'db_port'] = '3306';
$_DVWA[ 'allow_url_include'] = 'on';$_DVWA[ 'allow_url_fopen'] = 'on';
# ReCAPTCHA settings#   Used for the 'Insecure CAPTCHA' module#   You'll need to generate your own keys at: https://www.google.com/recaptcha/admin$_DVWA[ 'recaptcha_public_key' ]  = 'mikezhou';$_DVWA[ 'recaptcha_private_key' ] = 'mikezhou';
# Default security level#   Default value for the security level with each session.#   The default is 'impossible'. You may wish to set this to either 'low', 'medium', 'high' or impossible'.$_DVWA[ 'default_security_level' ] = 'impossible';
# Default PHPIDS status#   PHPIDS status with each session.#   The default is 'disabled'. You can set this to be either 'enabled' or 'disabled'.$_DVWA[ 'default_phpids_level' ] = 'disabled';
# Verbose PHPIDS messages#   Enabling this will show why the WAF blocked the request on the blocked request.#   The default is 'disabled'. You can set this to be either 'true' or 'false'.$_DVWA[ 'default_phpids_verbose' ] = 'false';
?>

4、访问:http://localhost/dvwa/setup.php

点击创建数据库。

5、创建成功,会自动跳转到登录页面,需要输入用户名密码。默认用户名:admin ,默认密码:password。

到这里,我们已经完成了,安全漏洞靶场环境的搭建。怎么样,你学会了吗?

最后感谢每一个认真阅读我文章的人,看着粉丝一路的上涨和关注,礼尚往来总是要有的,虽然不是什么很值钱的东西,如果你用得到的话可以直接拿走

这些资料,对于做【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴我走过了最艰难的路程,希望也能帮助到你!凡事要趁早,特别是技术行业,一定要提升技术功底。希望对大家有所帮助…….

这些都在下方我的微信公众号里免费获取~

小码哥说测试
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
2022年简历石沉大海,别投了,软件测试岗位饱和了....
07-21 1万+
各大互联网公司的接连裁员,政策限制的行业接连消失,让今年的求职雪上加霜,想躺平却没有资本,还有人说软件测试岗位饱和了,对此很多求职者深信不疑,因为投出去的简历回复的越来越少了。另一面企业招人真的变得容易了吗?有企业HR吐槽,简历确实比以前多了好几倍,其实是变相的增加了招聘难度,以前是从10份中找一个合适的,现在是从100份中找一个合适的,合适的依然那么少!...
博客
APP软件测试:内容与方法剖析!
05-23 469
随着移动互联网的迅猛发展,APP软件已成为我们日常生活中不可或缺的一部分。然而,一款优秀的APP不仅要有吸引人的功能和界面设计,更要有出色的稳定性和安全性。因此,APP软件测试在开发过程中显得尤为重要。本文将全面解析APP软件测试需要测试的内容,并给出相应的测试方法,同时辅以实例进行说明,还有详细的视频教程。
博客
对异步处理的http接口进行性能测试!
05-23 398
最近来了新的领导,测试的内容和范畴都变大了,工作内容涉及到APP,线上出现了由于性能引起的bug,不得不进行压测,只能不断的学习了。害,想做一条咸鱼都那么难,找了很多关于接口性能测试的资料,领导一直强调异步接口不好做压测
博客
接口自动化测试推荐用什么框架?
05-22 830
推荐使用Python编程语言结合Pytest框架进行接口自动化测试。Python是一门简洁而强大的语言,而Pytest是一个功能丰富且易于使用的测试框架,因此它们的结合能够提供高效、可靠的接口自动化测试解决方案。
博客
app稳定性测试之Monkey工具!
05-22 582
Monkey是一款针对Android应用程序的自动化测试工具,它的名字寓意着像猴子一样在软件上随机乱敲按键,以此来模拟用户的随机操作。通过向系统发送伪随机的用户事件流(如按键输入、触摸屏输入、滑动Trackball、手势输入等操作),Monkey可以对设备上的程序进行测试,检测程序在长时间运行下的稳定性,并观察程序在何种情况下会出现异常。
博客
怎么系统学习接口自动化测试?在字节待了8年的我是这样做的...
05-21 664
接口自动化测试是软件开发过程中必不可少的一环,它能够提高测试效率、减少人为错误,并确保系统的稳定性和质量。本文将系统介绍接口自动化测试的基本概念、技术工具以及最佳实践方法,帮助读者从零开始学习接口自动化测试,并规范书写测试脚本。
博客
Python + selenium如何做接口自动化测试?
05-21 755
在本文中,我们将学习如何使用Python和Selenium进行接口自动化测试。我们将从头开始创建一个规范化的项目,并演示如何编写测试用例和执行测试。
博客
app自动化测试工具有哪些?
05-20 822
自动化测试工具是用于执行和管理测试流程的软件工具,它们可以帮助开发团队加快测试过程,提高测试质量,并降低人力成本。现在,市场上有许多优秀的自动化测试工具,以下是一些常用的工具
博客
App UI自动化测试框架都包含哪些内容?
05-20 583
随着移动应用的快速发展,对于App UI自动化测试的需求也越来越高。一个好的自动化测试框架能够提高测试效率、减少测试成本,并且能够准确地对App的用户界面进行测试。本文将从零开始,详细介绍构建一个完整的App UI自动化测试框架所需要的内容和步骤。
博客
接口测试中是不是每天要写好几百个接口测试用例? ?
05-17 539
在接口测试中,每天是否需要编写几百个接口测试用例取决于项目的规模和需求。并非每个项目都需要编写如此多的测试用例,但对于大型复杂的系统来说,可能需要编写大量的接口测试用例以确保系统的稳定性和功能的完整性。
博客
求推荐几款http接口自动化测试工具?
05-17 596
在进行HTTP接口自动化测试时,选择适合的工具是非常重要的。下面将从零开始,向你介绍几款常用的HTTP接口自动化测试工具。
博客
接口测试用例设计,接口测试用例具体怎么设计?
05-16 293
接口测试是软件测试中的一项重要工作,通过接口测试可以验证系统各个组件之间的通信和数据交互是否正常。设计好的接口测试用例能够全面覆盖接口的各种情况,保证系统的稳定性和可靠性。下面将详细介绍接口测试用例的设计过程。
博客
怎么样测试一个接口?8年测试经验的我是这样做的...
05-16 548
测试一个接口是软件开发中非常重要的一步,它可以帮助开发者确保接口的功能符合预期,bug尽可能少,并且提供正确而有效的应答。本文将从零开始介绍如何测试一个接口,并为您提供详细和规范的步骤。
博客
自动化测试可以代替手工测试吗?
05-15 635
引言: 随着软件开发行业的快速发展,自动化测试在不断发展壮大,并被许多组织广泛应用。然而,尽管自动化测试在提高效率、减少人力和消除人为误差方面具有明显优势,但它并不能完全代替手工测试。本文将从零到一详细介绍自动化测试的定义、优势、局限性以及合理运用自动化测试的建议。
博客
软件测试怎么去介绍一个项目的测试流程?
05-15 526
软件测试是确保软件质量的关键过程之一。一个项目的测试流程是为了发现软件中的缺陷和问题,并确保软件能够满足用户的需求和预期。在本篇文章中,我将详细介绍一个项目的测试流程,从0到1,涵盖了所有必要的步骤和规范。
博客
接口测试有哪些面试题是可以拿出来分析学习的?
05-14 847
接口测试是软件测试中的一种重要测试方法,用于验证不同模块或组件之间的通信和数据交互是否正确。在接口测试的面试中,面试官通常会问一些与接口测试相关的面试题,以下是一些常见的面试题,可以帮助你分析学习接口测试的知识。
博客
如何用pytest进行Python自动化测试?
05-14 548
在现代软件开发中,自动化测试是一个不可或缺的环节,它可以帮助我们提高代码质量、减少错误,并提供持续集成和持续交付的支持。Python 作为一种广泛使用的编程语言,具有强大的测试框架 Pytest,本文将从零开始,详细描述如何使用 Pytest 进行 Python 的自动化测试。
博客
字节8年经验之谈!好用移动APP自动化测试框架有哪些?
05-13 646
移动App自动化测试框架是为了提高测试效率、降低测试成本而开发的一套工具和方法。好用的移动App自动化测试框架有很多,下面将介绍一些常用的框架,并提供一篇超详细和规范的文章,从零开始帮助你搭建一个移动App自动化测试框架。
博客
App自动化测试入门:APP测试的定义及环境搭建处理!
05-13 833
随着移动应用的快速发展,App测试变得越来越重要。而自动化测试成为了提高测试效率和质量的关键手段之一。本文将从零开始,详细介绍App自动化测试的定义,并指导你如何搭建测试环境。
博客
selenium可以编写自动化测试脚本吗?
05-11 665
当然可以!Selenium 是一个用于自动化浏览器操作的工具,它允许开发人员编写脚本来模拟用户在网页上的操作。在这篇文章中,我将逐步介绍如何从零开始编写一个详细且规范的 Selenium 自动化测试脚本。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值