OWASP BWA

最新推荐文章于 2024-04-18 13:20:33 发布
最新推荐文章于 2024-04-18 13:20:33 发布
阅读量4.8k 收藏 6
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43060552/article/details/89277574
版权

(你的世界是个什么样的世界?你说,我们倾听!)

 

-----------------

OWASP BWA

OWASP BWA(破碎的Web应用程序)是一个Ubuntu网站(Linux发行版),其中有多个Web应用程序故意存在漏洞,正如我们在“实用漏洞Web应用程序调查 ”一文中提到的那样。是虚拟机映像。

OWASP BWA(Broken Web Apps)是由国际信息安全领域著名的非营利性研究组织OWASP专门为广大对Web安全有兴趣的研究者和初学者开发的一个靶机镜像,汇集了大量存在已知安全漏洞的训练实验环境和真实Web应用程序,里面有各种预先设置的漏洞Web应用(包含OWASP Top 10主流类型安全漏洞),并按照安全级别进行了划分,给出各个安全级别上存在的缺陷代码程序,非常便于初学者由浅入深地逐步学习并提高技术能力。同时靶机镜像中的所有Web应用都是开放源代码的,这使得使用者可以采用源代码审计分析方法锻炼发现与修补安全漏洞的技能。OWASP BWA靶机镜像以VMware虚拟机镜像格式发布,使用者无须配置即可直接启动靶机,对其进行扫描与渗透攻击测试。

本书基于OWASP BWA靶机镜像的版本为v0.94,于2011年7月24日发布,基础操作系统平台为Ubuntu 10.04 LTS,依赖网络服务包括Apache、PHP、Perl、MySQL、PostgreSQL、Tomcat、OpenJDK与Mono,使用的网络与数据库管理服务有OpenSSH、Samba、Subversion与phpMyAdmin,其中存在已知安全漏洞的训练实验环境与真实Web应用程序如表2-3所示。

表 OWASP BWA靶机镜像中的缺陷Web应用程序列表
缺陷Web应用程序类别      缺陷Web应用程序      版本       Web应用程序代码语言       定V公司网站位置
故意引入安全漏洞的训练实验环境    OWASP WebGoat version     5.3.x       Java内部业务
       OWASP Vicnum version       1.4   PHP/Perl 未链接
       Mutillidae       1.5   PHP 内部业务
       Damn Vulnerable Web Application       1.07.x     PHP 内部业务
       ZAP-WAVE           Java JSP 内部业务
       Ghost             PHP 内部业务
       Peruggia  1.2   PHP 内部业务
       Google Gruyere     2010-07-15     Python    未链接
       Hackxor         Java JSP 未链接
       WackoPicko           PHP 未链接
       BodgeIt          Java JSP 未链接
存有已知安全漏洞的真实Web应用程序版本   GetBoo   1.04 PHP 未链接
       WordPress      2.0.0       PHP 外部门户
       OrangeHRM   2.4.2       PHP 未链接
       GetBoo   1.04 PHP 未链接
       GTD-PHP      2.1   PHP 未链接
       Yazd       1.0   Java 未链接
       WebCalendar  1.03 PHP 未链接
       TikiWiki  1.9.5       PHP 未链接
       Gallery2  2.1   PHP 未链接
       Joomla    1.5.15     PHP 外部门户

从表中可以看到,OWASP BWA靶机镜像中拥有近十个引入了各类主流Web安全漏洞特意构造的训练实验环境,以及一些存在着已被公开披露安全漏洞的流行Web应用程序。

1.利用虚拟机打开OWASP_Broken_web文件

下载安装包:2,虚拟机打开文件(虚拟机安装完成,然后直接点击下面的.vmx文件,就可以打开OWASP)

3,打开完成,可以登陆

 

4,输入登陆账号密码后,账号和密码在Linux界面有提示,然后浏览器中输入web的url地址就可以打开环境

http://192.168.40.133/phpadmin

 

 

                                                                                                                                               欢迎关注微信公众号  :   码奋

                                                                                                                                               Email:maafenn@gmail.com

                                                                                                                                              

 

码奋
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
在kali上使用virtualBox搭建OWASPbwa靶机
jelly
02-20 3028
前言 最近学习使用kali系统,在电脑上安装kali+windows10的双系统,在学习了一些常规漏洞后,打算在kali系统中利用virtualBox搭建一个靶机,用于实战练习。 #使用环境 宿主主机:kali linux2019.11 使用软件:virtualbox 6.1.2_Debian r135662 靶机:OWASPbwa2.0 具体步骤 1.安装virtualbox 在 /etc/ap...
OWASP靶机搭建(新手也可)
m0_51521509的博客
03-09 2948
OWASP靶机 进入官网地址下载 https://sourceforge.net/projects/owaspbwa/ 点击download下载[外链图片转存失败,源站可能有防盗在这里插入!链机制,建描述]议将图片上https://传(imbg.csdnimg.cG/2028lo6nK10309174627848.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpd...
OWASPBWA-1.2靶场搭建
qq_41333578的博客
07-03 2634
OWASPBWA是一个靶机系统全家福,直接用VirtualBox或VMware 直接打开即可(官方建议NAT模式) 0x00 搭建环境 1) VirtualBox 2) OWASP_Broken_Web_Apps_VM_1.2.ova 下载靶场 0x01 搭建步骤 1 直接VirtualBox打开ova 我这里要使宿主机访问VirtualBox NAT下的虚拟机,此时另外再配置网络设置,virtualBox NAT下虚拟机能够访问外网和宿主机,但宿主机不能访问虚拟机。 解决方法: 1)配置网络如下图
OWASP靶机下载安装
最新发布
m0_63602484的博客
04-18 697
第一次安装这个靶机的时候,发现靶机未显示ip地址,我也是通过自行配置ip地址才解决了无法访问的问题。2. 下载完成后,解压缩(这里自行创建目录文件即可,注意:路径中尽量不要出现中文字符)1. 开启VM虚拟机,选择打开虚拟机,选中刚才安装的OWASP靶机的.vmx文件即可。4. 输入账户和密码(这里提示用户名为:root,密码为:owaspbwa)2. 开启OWASP虚拟机,这里网络适配器应为NAT模式。6.通过浏览器访问OWASP靶机的web界面。3. 选择我已复制该虚拟机。
OWASPBWA的搭建及简单学习文件上传漏洞
小城的博客
11-08 3279
OWASPBWA的搭建及学习 我直接将我使用的OWASPBWA的链接地址发出来 owasp下载链接:https://jaist.dl.sourceforge.net/project/owaspbwa/1.2/OWASP_Broken_Web_Apps_VM_1.2.7z 将这个链接复制到迅雷下载即可,大概是1.7G,网速快的话很快就下好了。 下载完之后直接解压,然后点击vm右上角的文件直接选择打开这个文件夹即可使用 * * 进入机子后,输入ip a 查看机子的ip地址 得到靶机的地址后,我们可以在浏览器
网络安全攻防的环境配置(owaspbwa
vergilben的学习日记
04-08 2万+
网络安全攻防的环境配置 之前有朋友留言说介绍一下我常用的环境,在学习信息安全的过程中我们需要环境去自己练习,其中web方面的可以用复现漏洞的方式来练习。下面介绍三种自己用的练习方法(第三种较长): 合天网安实验室 最初我开始学习的时候用的就是合天网安实验室,里面的实验偏基础,倾向于让你了解原理,适合小白入门,唯一不足的是价格有点贵,有些实验你要存好长时间的合氏币,在我以前的博客里许多用的是合天...
OWASP Broken Web Apps渗透测试环境及靶机大全
caoyongsheng的博客
07-27 2220
OWASP下载: 能够运行各种已知漏洞的应用程序官网下载地址: https://sourceforge.net/projects/owaspbwa/files 下载OWASP_Broken_Web_Apps_VM_1.2.ova 然后进虚拟机打开, 在启动以后输入用户名root密码owaspbwa即可 参考操作: https://blog.csdn.net/huweiliyi/article/details/105513776 靶机大全: https://www.cnblogs.com/m.
OWASP靶机下载安装详细过程
热门推荐
xxx_Python的博客
05-22 2万+
OWASP靶机下载安装详细过程一、 OWASP靶机下载二、 VM虚拟机三、 OWASP安装四、 OWASP启动运行 一、 OWASP靶机下载 下载地址:https://sourceforge.net/projects/owaspbwa/files/. 一般可直接点击“Download Latest Version”下载最新版本的OWASP靶机 二、 VM虚拟机 安装可自行上网查看安装教程,本次使用VM15pro 三、 OWASP安装 保证磁盘容量有10G左右或以上,解压下载的OWASP压缩包 打开VM虚
OWASP1.2靶机百度云下载地址.txt
05-16
OWASP 1.2靶机百度云下载
OWASP_Broken_Web_Apps_VM_1.2.ova
05-22
ova版owasp官方下载。需要的小伙伴可以自行下载,具体百度网盘地址见txt文本中。OWASP_Broken_Web_Apps_VM_1.2.ova
渗透测试新手练习及高手深入挖掘专用Linux及Windows靶机(官方原版镜像)
05-08
本人学习时使用的的这两个系统,常见的高风险漏洞较多,容易利用,适合新手练习。 metasploitable-linux为常用的Linux靶机,系统包含了很多高风险漏洞、弱口令及容易利用的端口、服务,是渗透测试初学者练习技术的...
owasp2.9下载 download
07-08
owasp2.9下载 download,漏洞扫描工具,网站维护工具必选。开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
OWASP Broken Web Apps VM 1 1 1种子文件
03-02
OWASP Broken Web Apps
OWASP_Broken_Web_Apps_VM_1.2
02-16
OWASP_Broken_Web_Apps_VM_1.2
OWASP(web渗透测试软件)
09-24
OWASP ZAP_2_7_0_windows_64(web渗透测试软件)安装包以及操作
OWASP TOP 10
07-08
OWASP TOP 10 2017 是一个非常不错的安全方面的信息文档
OWASP靶机下载地址
yellow_fish_flag的博客
09-05 2686
https://sourceforge.net/projects/owaspbwa/files/
Java 静态代码分析工具-OWASP基准测试测评篇
Mason_Redrocket
06-09 566
一背景 源代码静态分析工具(SAST)作为软件安全的重要保障工具,已经在各个领域被广泛使用。随着开源SAST工具的广泛使用,工具种类的增加,使用者很难判断工具的优劣及适不适合企业的应用场景,本文从金融、互联网企业最常用的Java语言代码分析的角度,对静态分析进行一次简要的测评,为大家选择静态分析工具提供依据,此外,本文分析了目前静态代码分析工具存在的技术问题及工具评估的基本准则。 二概述 一般来说,误报和漏报率是SAST最重要的技术评价指标,但由于没有通用意义上的测试集能够全面反应静态分析...
owasp zap使用
06-01
OWASP ZAP(Zed Attack Proxy)是一款常用的免费开源网络应用程序安全测试工具,可以被用于发现和利用Web应用程序的安全漏洞。以下是使用OWASP ZAP的简单步骤: 1. 下载并安装OWASP ZAP。 2. 启动OWASP ZAP并在代理菜单中选择“启动代理”。 3. 配置浏览器使用OWASP ZAP作为代理服务器。在浏览器中输入“about:preferences#advanced”并在“网络”选项卡中选择“设置”按钮。在代理服务器选项中选择“手动代理配置”并输入ZAP代理服务器的IP地址和端口号。 4. 浏览到要测试的Web应用程序并开始浏览。OWASP ZAP将记录所有的HTTP请求和响应。 5. 在OWASP ZAP中选择“自动扫描”并选择要扫描的目标应用程序。OWASP ZAP将自动扫描应用程序,并在扫描完成后生成一个报告。 6. 手动测试:在OWASP ZAP中选择“手动探测”并选择要测试的目标应用程序。使用OWASP ZAP的工具手动测试应用程序,例如:拦截器、爬虫、代理等。 这只是OWASP ZAP的基本使用,该工具还提供了更多高级功能,例如:自定义脚本、插件等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值