(你的世界是个什么样的世界?你说,我们倾听!)
-----------------
OWASP BWA
OWASP BWA(破碎的Web应用程序)是一个Ubuntu网站(Linux发行版),其中有多个Web应用程序故意存在漏洞,正如我们在“实用漏洞Web应用程序调查 ”一文中提到的那样。是虚拟机映像。
OWASP BWA(Broken Web Apps)是由国际信息安全领域著名的非营利性研究组织OWASP专门为广大对Web安全有兴趣的研究者和初学者开发的一个靶机镜像,汇集了大量存在已知安全漏洞的训练实验环境和真实Web应用程序,里面有各种预先设置的漏洞Web应用(包含OWASP Top 10主流类型安全漏洞),并按照安全级别进行了划分,给出各个安全级别上存在的缺陷代码程序,非常便于初学者由浅入深地逐步学习并提高技术能力。同时靶机镜像中的所有Web应用都是开放源代码的,这使得使用者可以采用源代码审计分析方法锻炼发现与修补安全漏洞的技能。OWASP BWA靶机镜像以VMware虚拟机镜像格式发布,使用者无须配置即可直接启动靶机,对其进行扫描与渗透攻击测试。
本书基于OWASP BWA靶机镜像的版本为v0.94,于2011年7月24日发布,基础操作系统平台为Ubuntu 10.04 LTS,依赖网络服务包括Apache、PHP、Perl、MySQL、PostgreSQL、Tomcat、OpenJDK与Mono,使用的网络与数据库管理服务有OpenSSH、Samba、Subversion与phpMyAdmin,其中存在已知安全漏洞的训练实验环境与真实Web应用程序如表2-3所示。
表 OWASP BWA靶机镜像中的缺陷Web应用程序列表
缺陷Web应用程序类别 缺陷Web应用程序 版本 Web应用程序代码语言 定V公司网站位置
故意引入安全漏洞的训练实验环境 OWASP WebGoat version 5.3.x Java内部业务
OWASP Vicnum version 1.4 PHP/Perl 未链接
Mutillidae 1.5 PHP 内部业务
Damn Vulnerable Web Application 1.07.x PHP 内部业务
ZAP-WAVE Java JSP 内部业务
Ghost PHP 内部业务
Peruggia 1.2 PHP 内部业务
Google Gruyere 2010-07-15 Python 未链接
Hackxor Java JSP 未链接
WackoPicko PHP 未链接
BodgeIt Java JSP 未链接
存有已知安全漏洞的真实Web应用程序版本 GetBoo 1.04 PHP 未链接
WordPress 2.0.0 PHP 外部门户
OrangeHRM 2.4.2 PHP 未链接
GetBoo 1.04 PHP 未链接
GTD-PHP 2.1 PHP 未链接
Yazd 1.0 Java 未链接
WebCalendar 1.03 PHP 未链接
TikiWiki 1.9.5 PHP 未链接
Gallery2 2.1 PHP 未链接
Joomla 1.5.15 PHP 外部门户
从表中可以看到,OWASP BWA靶机镜像中拥有近十个引入了各类主流Web安全漏洞特意构造的训练实验环境,以及一些存在着已被公开披露安全漏洞的流行Web应用程序。
1.利用虚拟机打开OWASP_Broken_web文件
下载安装包:2,虚拟机打开文件(虚拟机安装完成,然后直接点击下面的.vmx文件,就可以打开OWASP)
3,打开完成,可以登陆
4,输入登陆账号密码后,账号和密码在Linux界面有提示,然后浏览器中输入web的url地址就可以打开环境
http://192.168.40.133/phpadmin
✔
欢迎关注微信公众号 : 码奋
Email:maafenn@gmail.com