Установка площадки для тестирования веб-уязвимостей на локальный сервер

Немного теории…

Open Web Application Security Project (OWASP) — это открытый проект обеспечения безопасности веб-приложений. Сообщество OWASP включает в себя корпорации, образовательные организации и частных лиц со всего мира.

Сообщество работает над созданием статей, учебных пособий, документации, инструментов и технологий, находящихся в свободном доступе. Участники составляют список Топ-10 самых опасных уязвимостей в веб-приложениях.

  • A1 Внедрение кода;
  • A2 Некорректная аутентификация и управление сессией;
  • A3 Межсайтовый скриптинг (XSS);
  • A4 Небезопасные прямые ссылки на объекты;
  • A5 Небезопасная конфигурация;
  • A6 Утечка чувствительных данных;
  • A7 Отсутствие контроля доступа к функциональному уровню;
  • A8 Подделка межсайтовых запросов (CSRF);
  • A9 Использование компонентов с известными уязвимостями;
  • A10 Невалидированные редиректы.

buggy web application (bWAPP) — это веб-приложение с открытым исходным кодом, свободное для скачиваний. Отличает себя от других тем, что содержит около 100 уязвимостей, классифицированных по топ-10 от OWASP. Предназначается для поиска и эксплуатации уязвимостей в веб-приложениях и не только.

Оно помогает энтузиастам по безопасности, разработчикам и студентам обнаруживать и предотвращать веб-уязвимости. bWAPP подготавливает для проведения успешных тестов на проникновение и участия в проектах этичного хакинга. Официальный сайт bWAPP.

bee-box — это виртуальная машина Linux с предустановленным bWAPP. Ссылка для скачивания bee-box.

В данной статье мы будем устанавливать bWAPP на локальный сервер XAMPP в операционной системе Debian.

Установка bWAPP

В операционной системе Debian скачиваем bWAPP.

Требования для установки bWAPP
  1. Windows, Linux, Mac OS;
  2. веб-сервер (Apache, Nginx, IIS);
  3. PHP расширения;
  4. MySQL.

Все это есть в локальном сервере XAMPP. Заранее установите данный сервер или другой на ваш выбор.

После скачивания bWAPP распаковываем его в папку куда скачали. Распаковать можно с помощью команды:

unzip bWAPP_latest.zip


Установка площадки для тестирования веб-уязвимостей на локальный сервер

Далее необходимо зайти в папку htdocs по пути: /opt/lampp/htdocs/


Установка площадки для тестирования веб-уязвимостей на локальный сервер

Заходим в терминал в данной папке, переходим на администратора и создаем папку bWAPP и даем ей полные права (777) для всех пользователей c помощью команд:

su  # переходим на root
mkdir bWAPP # создаем папку
chmod 777 bWAPP # даем права

Папку мы создаем для правильной структуры всего проекта. Вы можете не создавать данную папку.


Установка площадки для тестирования веб-уязвимостей на локальный сервер

Перемещаем все распакованные файлы bWAPP в созданную папку:


Установка площадки для тестирования веб-уязвимостей на локальный сервер

Необходимо дать полные разрешения для директорий ‘passwords’, ‘images’, ‘documents’ и ‘logs’.

Этот шаг опциональный, но даст намного больше веселья при эксплуатации bWAPP такими инструментами как sqlmap и Metasploit.

Пример:

chmod 777 passwords/
chmod 777 images/
chmod 777 documents/
chmod 777 logs/


Установка площадки для тестирования веб-уязвимостей на локальный сервер

Далее необходимо отредактировать файл ‘bWAPP/admin/settings.php’ на ваши собственные настройки подключения к базе данных:

$db_server = "localhost";   // сервер вашей базы данных (IP/имя), здесь 'localhost'
$db_username = "root";      // пользователь вашей MySQL, здесь 'root'
$db_password = "";      // ваш пароль MySQL, здесь пустой пароль'
$db_name = "bWAPP";

Запускаем наш локальный сервер и открываем через браузер файл install.php. Пример: http://localhost/bWAPP/bWAPP/install.php

/opt/lampp/lampp start  #запуск сервера

После открытия странички в браузере кликните на ‘here’ (Click ‘here’ to install bWAPP). Будет создана и заполнена база данных ‘bWAPP’.

Переходим на страницу входа. Пример: http://localhost/bWAPP/bWAPP/login.php

Вводим учетные данные по умолчанию bee/bug. Вход произведен успешно и bWAPP заработал:


Установка площадки для тестирования веб-уязвимостей на локальный сервер

Видео по установке bee-box:



 
Поделиться в facebook
Facebook
Поделиться в twitter
Twitter
Поделиться в vk
VK
Поделиться в google
Google+
Поделиться в email
Email

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Группа в VK

Помощь проекту

Обнаружили опечатку?

Сообщите нам об этом, выделите текст с ошибкой и нажмите Ctrl+Enter, будем очень признательны!

Свежие статьи

Похожие статьи

Искусство форензики

Искусство форензики

Форензика (компьютерная криминалистика, расследование киберпреступлений) — прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких

 
Утилита IPTABLES

Утилита IPTABLES

IPTABLES – утилита межсетевого экрана, предназначенная для операционных систем Linux. Iptables основана на правилах, которые контролируют входящие и исходящие пакеты, а также использует цепочки правил

 
Установка системы мониторинга Zabbix

Установка системы мониторинга Zabbix

Zabbix — это универсальный инструмент мониторинга, способный отслеживать динамику работы серверов и сетевого оборудования, быстро реагировать на внештатные ситуации и предупреждать возможные проблемы с нагрузкой.

 

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: