01、前言
网络安全不能停留在纸上谈兵,不论是在学习网络安全知识还是在获取攻击行为特征的过程中,进行漏洞复现实验以及搭建各式各样的漏洞环境的过程是不可缺少的。在搭建漏洞环境进行实验和研究的过程中,能更有效率地提高对相关漏洞利用、网络结构、编程语言、以及数据通信等知识的理解。
于是,许多安全技术人员将各类的漏洞环境进行整合,制作成各种类型的训练环境(通常以网站文件或者容器文件的形式)。这类环境被称之为靶场,可以很大程度节约了搭建环境的时间成本,为安全爱好者和研究人员提供了很大的便利。
本文将分享在Web渗透过程中常用的不同类型靶场和搭建的方法。
02、Web渗透是什么
通俗来讲可以这么定义:Web渗透是通过模拟恶意黑客的攻击方法,来评估Web站点安全的一种评估方法。
常见的Web漏洞通常包括了:输入输出验证不充分、设计缺陷、环境缺陷、sql注入、xss、csrf、目录穿越、文件上传、代码注入、命令注入、信息泄漏、暴力破解、越权漏洞、非授权对象引用、业务逻辑缺陷、框架漏洞、基础环境漏洞。
OWASP组织提出的前十大Web应用安全风险:
1. 注入
2. 失效身份验证和会话管理
3. 敏感信息泄露
4. XML外部实体注入攻击(XXE)
5. 失效访问控制
6. 安全性错误配置
7. Cross-Site-Scripting(XSS)
8. 不安全的反序列化
9. 使用具有已知漏洞的组件
10. 日志记录和监控不足
图1 OWASP组织提出的前十大Web应用安全风险
03、靶场推荐
【1.DVWA (Dam Vulnerable Web Application)】
DVWA是用PHP+MySQL编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。
资源地址:https://dvwa.co.uk/
【2.DVWA-WooYun(乌云靶场)】
DVWA-WooYun是一个基于DVWA的PHP+MySQL漏洞模拟练习环境,通过将以往乌云主站上的有趣漏洞报告建模,以插件形式复现给使用该软件的用户,在实践的过程中可以无缝隙地深入理解漏洞的原理及利用方式。
资源地址:https://github.com/vulnspy/DVWA-WooYun
【3. OWASP Broken Web Application】
靶场由OWASP专门为Web安全研究者和初学者开发的一个靶场,包含了大量存在已知安全漏洞的训练实验环境和真实Web应用程序。
所包含的环境非常多,相对DVWA来说更贴近实战,靶场不仅有专门设计的web漏洞应用场景 ,还包含了部分常见的开源web应用程序,相对dvwa不仅有PHP,也还有Jsp、Asp、Python等动态脚本语言环境,而且包含的漏洞种类也非常的丰富,除了常见的web漏洞外,还包含了访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、web服务、Open Authentication失效、危险的HTML注释等,非常适合学习和实践。
资源地址:https://sourceforge.net/projects/owaspbwa/files/
【4.Bee-Box(小蜜蜂)】
Bee-box官方称呼BWAPP,buggy web Application 这是一个集成了各种常见漏洞和最新漏洞的开源Web应用程序,目的是帮助网络安全爱好者、开发人员和学生发现并防止网络漏洞。包含了超过100种漏洞,涵盖了所有主要的已知Web漏洞,包括OWASPTop10安全风险,最重要的是已经包含了OpenSSL和ShellShock漏洞。
资源地址:https://sourceforge.net/projects/bwapp/files/bee-box/
【5.Pikachu(皮卡丘)】
由于Pikachu的开发者始终遵循一个原则:“如果你想搞懂一个漏洞,比较好的方法是:你可以自己先制造出这个漏洞(用代码编写),然后再利用它,最后再修复它”。因此诞生了这个靶场,在这里包含了常见的web安全漏洞。 如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。
资源地址:
https://github.com/zhuifengshaonianhanlu/pikachu
04、总结
Web 知识本身就非常丰富,覆盖范围也非常广泛:
-
浏览器、服务器、数据库;
-
从 HTML、JavaScript 和 CSS 、PHP、Java、ASP(.net);
-
页面加载、DOM 渲染;
-
静态页面、 MVC;
-
URL 协议、 HTTP 协议。
从入门到精通是需要沉淀和磨练的,光理论知识不够,一定要千百次的实操才记忆深刻。
来源:freebuf.com 2021-05-17 16:12:47 by: 南京聚铭网络
请登录后发表评论
注册