8 рањивих веб апликација за легално хаковање

by
Tweet
Share
Share
Pin

Не постоји бољи начин да побољшате поверење у вештине етичког хаковања него да их ставите на тест.

За етичке хакере и тестере пенетрације може бити изазов да легално тестирају своје способности, тако да је поседовање веб локација дизајнираних да буду несигурне и да обезбеде безбедно окружење за тестирање вештина хаковања фантастичан начин да се заштитите од изазова.

Веб локације и веб апликације дизајниране да буду несигурне и да обезбеде безбедно окружење за хаковање су идеална основа за учење. Нови хакери могу да науче како да пронађу рањивости са њима, а стручњаци за безбедност и буг боунти ловци могу повећати своју стручност и пронаћи неке друге нове рањивости.

Коришћење рањивих веб апликација

Коришћење ових намерно креираних рањивих веб локација и веб апликација за тестирање даје вам безбедно окружење за легално вежбање тестирања док сте на правој страни закона. На овај начин можете хаковати без уласка у опасну територију која би могла довести до вашег хапшења.

Ове апликације су дизајниране да помогну ентузијастима у безбедности у учењу и изоштравању својих способности за безбедност информација и тестирање пенетрације.

У овом чланку сам навео неколико типова апликација које су намерно дизајниране као несигурне, често познате као „Проклето рањиве“.

Бугги веб апликација, често позната као БВАПП, је бесплатан алат отвореног кода. То је ПХП апликација која користи МиСКЛ базу података као позадину. Овај Бвапп има преко 100 грешака на којима можете да радите, било да се припремате за задатак или само желите да своје етичке хакерске способности задржите на нивоу стандарда. Ово покрива све главне (и најчешће) безбедносне пропусте.

Више од 100 рањивости и недостатака онлајн апликација укључено је у овај алат, који је изведен из ОВАСП Топ 10 пројекта. Следе неке од мана:

  • Скриптовање на више локација (КССС) и фалсификовање захтева на више локација (ЦСРФ)
  • ДоС (ускраћивање услуге) напади
  • Напади човека у средини
  • Фалсификовање захтева на страни сервера (ССРФ)
  • СКЛ, ОС Цомманд, ХТМЛ, ПХП и СМТП ињекције итд.
  Како направити нову Гит грану као професионалац

Ова веб апликација ће вам помоћи у спровођењу законитог етичког хаковања и тестирања оловком.

Можете лако преузети овај бвапп путем кликом овде.

Проклето рањива веб апликација

Проклето рањива веб апликација, често позната као ДВВА, развијен је у ПХП-у и МиСКЛ-у. Намерно је остављен рањивим тако да професионалци за безбедност и етички хакери могу да тестирају своје вештине без правно компромитовања било чијег система. За покретање, ДВВА захтева инсталацију веб сервера, ПХП-а и МиСКЛ-а. Ако већ немате подешен веб сервер, најбржи приступ за инсталирање ДВВА је преузимање и инсталирање „КСАМПП“. КСАМПП је доступан за преузимање овде.

Ова проклето рањива веб апликација пружа неке рањивости за тестирање.

  • Насилно
  • Извршење команде
  • ЦСРФ и укључивање датотека
  • КССС и СКЛ ињекција
  • Небезбедно отпремање датотека

Главна предност ДВВА је у томе што можемо подесити нивое безбедности за вежбање тестирања сваке рањивости. За сваки ниво безбедности потребан је јединствен скуп талената. Истраживачи безбедности могу да испитају шта се дешава у позадини захваљујући одлуци програмера да објави изворни код. Ово је одлично за истраживаче да науче о овим проблемима и да помогну другима да сазнају о њима.

Гоогле Груиере

Не виђамо често речи „сир“ и „хаковање“ које се користе заједно, али ова веб страница је пуна рупа, баш као и укусни сир. Груиере је одличан избор за почетнике који желе да науче како да лоцирају и искористе рањивости и како да се боре против њих. Такође користи „сирасто“ кодирање, а цео дизајн је заснован на сиру.

извор слике: Гоогле груиере

Да би ствари биле лакше, написан је у Питхон-у и категорисан по врстама рањивости. Они ће вам пружити кратак опис рањивости коју ћете лоцирати, искористити и идентификовати користећи хаковање црне кутије или беле кутије (или комбинацију обе технике) за сваки задатак. Неки од њих су :

  • Објављивање информација
  • СКЛ ињекција
  • Фалсификовање захтева на више локација
  • Напади ускраћивања услуге
  Водич о континуитету пословања [+4 Software]

Иако је потребно неко предзнање, ово је најбоља опција за почетнике.

ВебГоат

Ова листа укључује још једну ОВАСП ставку и једну од најпопуларнијих. ВебГоат је небезбедан програм који се може користити за учење о уобичајеним проблемима са апликацијама на страни сервера. Намењен је да помогне људима у учењу о безбедности апликација и вежбању техника пентестирања.

Свака лекција вам омогућава да научите о одређеном безбедносном пропусту, а затим да га нападнете у апликацији.

Неке од рањивости у Вебгоат-у су:

  • Буффер оверфловс
  • Неправилно руковање грешкама
  • Недостаци убризгавања
  • Небезбедна комуникација и конфигурација
  • Грешке у управљању сесијама
  • Ометање параметара

Метасплоитабле 2

Међу истраживачима безбедности, Метасплоитабле 2 је најчешће коришћена онлајн апликација. Врхунски алати као што су Метасплоит и Нмап могу се користити за тестирање ове апликације од стране ентузијаста за безбедност.

Главна сврха ове рањиве апликације је тестирање мреже. Направљен је по узору на истакнути Метасплоит програм, који истраживачи безбедности користе да открију безбедносне пропусте. Можда ћете чак успети да пронађете љуску за овај програм. ВебДАВ, пхпМиАдмини ДВВА су све уграђене функције у овој апликацији.

Можда нећете моћи да пронађете ГУИ апликације, али и даље можете да користите бројне алате преко терминала или командне линије да бисте га искористили. Можете погледати његове портове, услуге и верзију, између осталог. Ово ће вам помоћи да процените своју способност да научите Метасплоит алат.

Проклето рањива иОС апликација

ДВИА је иОС програм који омогућава ентузијастима, стручњацима и програмерима мобилне безбедности да вежбају тестирање пенетрације. Недавно је поново објављен и сада је бесплатно доступан на ГитХуб-у.

Пратећи ОВАСП Топ 10 мобилних ризика, ДВИА садржи типичне рањивости иОС апликација. Развијен је у Свифт-у, а све рањивости су тестиране до иОС 11. Требаће вам Ксцоде да бисте га користили.

  6 најбољих ВордПресс додатака за приступачност у 2022

Неке од функција доступних у ДВИА-и су:

  • Откривање бекства из затвора
  • Пецање
  • Покварена криптографија
  • Рунтиме манипулатион
  • Закрпе апликације
  • Бинарно закрпе

ОВАСП Мутиллидае ИИ

Мутиллидае ИИ је бесплатни програм отвореног кода који је развио ОВАСП. Многи ентузијасти безбедности су га користили јер пружа окружење за хаковање на мрежи које се лако користи. Садржи низ рањивости, као и препоруке које ће помоћи кориснику да их искористи. Ова веб апликација је за вас да освежите своје способности ако су тестирање на пенетрацију или хаковање ваша забава.

Садржи низ рањивости за тестирање, укључујући прескакање кликова, заобилажење аутентификације и још много тога. Његов одељак о рањивости такође укључује поткатегорије које пружају даље алтернативе.

Мораћете да инсталирате КСАМПП на вашем систему. Међутим, Мутиллидае укључује КСАМПП. Могуће је чак и пребацивање између безбедног и несигурног режима. Мутиллидае је комплетно лабораторијско окружење које укључује све што вам је потребно.

Веб Сецурити Дојо

ВСД је виртуелна машина са разним алатима као што су Бурп Суите и ратпроки и циљне машине (као што је ВебГоат). То је окружење за обуку отвореног кода засновано на Убунту 12.04 оперативном систему. За неке циљеве садржи и материјале за обуку и корисничке водиче.

Не морате да покрећете друге алате да бисте га користили; све што вам треба је овај ВМ. У почетку ћете морати да инсталирате и покренете ВиртуалБок 5 (или новији), или уместо тога можете да користите ВМваре. Затим увезите ова датотеку у ВиртуалБок/ВМваре и готови сте. Имаће исти осећај као и сваки други Убунту ОС.

Овај ВМ је идеалан за самостално учење и учење од стране почетника, професионалаца и наставника који желе да подучавају о рањивостима.

Закључак 😎

Морате имати практично искуство са несигурним апликацијама пре него што уђете у професионалну област безбедности информација. Помаже у развоју ваших способности.

Такође вам помаже да идентификујете и вежбате своје слабе области. Практикујући етичко хаковање наменски направљених апликација, боље ћете разумети своје хакерске способности и где се налазите у области безбедности. Корисно је делити информације. Можете користити ове веб апликације да покажете другима како да уоче типичне недостатке веб апликација.