OWASP BWA靶机镜像注解
20151105
目录
一、TRAINING APPLICATIONS (3)
1 OWASP WebGoat(OWASP WebGoat.NET) (3)
2 OWASP ESAPI Java SwingSet Interactive (3)
3 OWASP Mutillidae II (3)
4 OWASP Rails Goat (4)
5 OWASP Bricks (4)
6 OWASP Security Shepherd (4)
7 Magical Code Injection Rainbow(MCIR) (4)
手机游戏源码论坛
8 BWAPP (4)
9 Damn Vulnerable Web Application (5)
二、REALISTIC, INTENTIONALLY VULNERABLE APPLICATIONS (5)
1 OWASP Vicnum (5)
2 OWASP 1-Liner (5)
3 Hackxor (5)
4 WackoPicko (5)
5 BodgeIt (5)
三、OLD (VULNERABLE) VERSIONS OF REAL APPLICATIONS (5)
1 WordPress (6)
2 OrangeHRM (6)
3 GetBoo (6)
4 Yazd (6)
5 WebCalendar (6)
6 Gallery2 (6)
7 Tiki Wiki (6)
8 Joomla (7)
9 AWStats (7)
四、APPLICATIONS FOR TESTING TOOLS (7)
1 wavsep (7)
五、DEMONSTRATION PAGES/SMALL APPLICATIONS (7)
1 OWASP CSRFGuard Test Application (8)
2 Simple ASP.NET Forms (8)
3 Simple Form with DOM Cross Site Scripting (8)
一、TRAINING APPLICATIONS
1 OWASP WebGoat(OWASP WebGoat.NET)
WebGoat是由著名的OWASP负责维护的一个漏洞百出的J2EE Web应用程序,这些漏洞并非程序中的bug,而是故意设计用来讲授Web应用程序安全课程的。这个应用程序提供了一个逼真的教学环境,为用户完成课程提供了有关的线索。
WebGoat是一个用来演示Web应用程序中的典型安全漏洞的应用程序,旨在在应用程序安全审计的上下文中系统、条理地讲解如何测试和利用这些安全漏洞。
当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL 注入、web服务、Open Authentication失效危险的HTML注释……等等!
默认用户名和密码:guest
推荐测试工具:burpsuite、WebScarab
2 OWASP ESAPI Java SwingSet Interactive
ESAPI (OWASP企业安全应用程序接口)是一个免费、开源的、网页应用程序安全控件库,它使程序员能够更容易写出更低风险的程序。ESAPI接口库被设计来使程序员能够更容易的在现有的程序中引入安全因素。ESAPI库也可以成为作为新程序开发的基础。
除了语言方面的差异,所有的OWASP ESAPI版本都具有如下相同的基本设计结构:
1、都有一整套安全控件接口。例如,这些安全接口中定义了发送给不同安全控件的参数类型。
2、每个安全控件都有一个参考实现。这些实现不是基于特定组织或者特定程序的。例如:基于字符串的输入验证。
3、程序开发者可以有选择的实现自己的安全控件接口。可能这些接口类中的应用逻辑是由您的组织开发的或者为您公司定制的。例如:企业认证。
为使本项目尽可能易于传播并使更多人能够自由自用,本项目的源代码使用了BSD许可证。本项目的文档使用了知识共享署名许可证。你可以随意使用、修改ESAPI,甚至将它包含在商业产品中。
许多企业和组织已经开始使用ESAPI来巩固他们的Web程序安全,以下是其中的一部分:
Apache Foundstone(McAfee),
3 OWASP Mutillidae II
是一个开放源码的提供安全渗透测试的Web应用程序, Mutillidae可以安装在Linux、windows xp、windows 7等平台上,提供丰富的sql注入漏洞
默认用户名和密码:admin
推荐测试工具:metasploit自带所带的注入工具
4 OWASP Rails Goat
railsgoat是一个基于Ruby on Rails框架的漏洞仿真平台,包括OWASP 的10大漏洞,以及一些“额外”最初的项目贡献者觉得值得分享的漏洞环境。这个项目的目的是给开发者和安全专业人士提供一个学习和测试安全漏洞的平台
默认用户名和密码:需要渗透测试获得
推荐测试工具:metasploit自带所带的注入工具
5OWASP Bricks
Bricks是一个建立于PHP、使用MySQL数据库的web应用程序,其中含有漏洞并且每个“brick”程序块包含一个需要进行缓解安全漏洞。这是OWASP的一个项目,不仅为教学提供了一个AppSec平台,同时也成为检测web应用程序扫描器的一种方法。
有三种类型的程序块:登录页面、文件上传页面以及内容页面,每种都存在不同类型的漏洞,而这些漏洞都是应用程序中经常遇到的。
默认用户名和密码:需要渗透测试获得
推荐测试工具:ZAP
6 OWASP Security Shepherd
OWASP安全牧羊项目是一个Web和移动应用安全培训平台。安全牧羊人被设计用来培养和提高IT人员的安全意识。这个项目的是把APPSEC新手或经验丰富的工程师磨练成安全渗透测试专家。
OWASP安全牧羊人项目可以让用户学习或改善现有的人工渗透测试技巧。
安全牧羊人是高度可配置的。系统管理员可以调整项目的经验,提出了具体的安全风险问题或特定的安全牧羊人模块。用户模块配置可让牧羊人要由一个单一的本地用户转换为使用阵列来协同测试,许多在竞争激烈的课堂环境或在网上进行黑客大赛。
7 Magical Code Injection Rainbow(MCIR)
安全渗透测试进阶平台,其中包括web十大安全漏洞
8 BWAPP
buggy web Application 这是一个集成了各种常见漏洞和最新漏洞的开源Web应用程序,目的是帮助网络安全爱好者、开发人员和学生发现并防止网络漏洞。包含了超过100种漏洞,涵盖了所有主要的已知Web漏洞,包括OWASP Top10安全风险,最重要的是已经包含了OpenSSL和ShellShock漏洞。
9 Damn Vulnerable Web Application
DVWA最大的特是PHP+mysql编写,方便搭建,而且可以设置安全级别(高中低)默认用户名和密码:admin
二、REALISTIC, INTENTIONALLY VULNERABLE APPLICATIONS
1OWASP Vicnum
Vicnum是一款轻量级、灵活的使用PERL和PHP编写的含有web漏洞的web应用程序。Vicnum包含的漏洞包括跨站脚本、SQL注入和会话管理问题等漏洞,有助于IT审计人员提高web安全技能和搞个夺旗比赛
2 OWASP 1-Liner
OWASP 1-liner是使用Java和JavaScript编写的含有脆弱漏洞的基础聊天应用程序,用户通过所谓的聊天信息。一条一条短信发送到网络空间,访问系统的任何人可以打开读取。该应用程序是用于演示和应用安全培训。重要的OWASP 1-liner包含几个严重的安全漏洞,用于演示和应用安全培训。他不含有任何敏感信息,如遇到安全阻止选择信任便可。OWASP 1-liner是官方OWASP项目,OWASP APPSEC2012年在雅典最初发布。
3 Hackxor
是由albino开发的一个online黑客游戏,亦可以下载安装完整版进行部署,包括常见的WEB漏洞演练。包含常见的漏洞XSS、CSRF、SQL注入、RCE等。
4 WackoPicko
是由Adam Doupé.发布的一个脆弱的Web应用程序,用于测试Web应用程序漏洞扫描工具。它包含了命令行注射、sessionid问题、文件包含、参数篡改、sql注入、xss、flash form反射性xss、弱口令扫描等。
5 BodgeIt
BodgeIt是一个Java编写的脆弱性WEB程序。他包含了XSS、SQL注入、调试代码、CSRF、不安全的对象应用以及程序逻辑上面的一些问题。
三、OLD (VULNERABLE) VERSIONS OF REAL APPLICATIONS
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论