Web Security Dojo
Описание Web Security Dojo
Web Security Dojo – это бесплатная, с открытым исходным кодом автономная среда обучения безопасности и тестированию на проникновения веб-приложений. Инструменты + Цели = Dojo
На чистую установку Ubuntu v12.04LTS, пропатченную необходимыми обновлениями и дополнениями гостевой ОС VirtualBox для простого использования, добавлены различные инструменты тестирования безопасности веб-приложений и уязвимые веб-приложения.
Web Security Dojo для обучения и практики по техникам тестирования безопасности веб-приложений. Этот набор идеален для самообразования и оценки навыков, а также для тренировки в учебных заведения и на конференциях, поскольку он не требует сетевого подключения. Dojo содержит всё необходимое для начала работы – инструменты, цели и документацию (на английском языке).
Домашняя страница: https://www.mavensecurity.com/resources/web-security-dojo/
Автор: Maven Security Consulting
Лицензия: ?
Установка Web Security Dojo
У вас должен быть установлен VirtualBox. После этого скачайте контейнер с Web Security Dojo, последняя версия по ссылке.
Когда скачивание завершится, дважды кликните по скаченному файлу и импортируйте настройки виртуальной машины в VirtualBox.
После окончания импорта настроек, в списке виртуальных машин появится новая – запустите её как обычную виртуальную машину.
Учётные данные пользователя по умолчанию dojo:dojo
Уязвимые приложения в Web Security Dojo
Установлены и настроены вместе с необходимыми компонентами (веб-сервером, СУБД, PHP) следующие уязвимые веб-приложения:
- DVWA Login: admin:password
- Mutillidae/NOWASP
- WebGoat login: guest:guest
- Insecure Web App
- w3af test framework
- WAVSEP Scanner Testbench
- XSS Practice Cases (WAVSEP XSS w/ hints hidden)
- REST demos
- JSON demo
- DOM XSS demo
- Simple Maven PHP demos
- sqli-labs
- Gruyere
- Hacme Casino
- Juice Shop
Документация в Web Security Dojo
Включены следующие документы (все на английском языке):
- OWASP Top 10 — 2010
- OWASP Top 10 — 2013
- OWASP_Testing_Guide_v3
- OWASP_Testing_Guide_v4
- OWASP_Top_10_2007
- WASC-TC-v1_0
- WASC-TC-v2_0
- Hacme Casino User Guide
- Damn Vulnerable Web Application (DVWA) официальная документация (/var/www/dvwa/docs/DVWA_v1.3.pdf)
- Gruyere документация
- HTML5 Security Cheatsheet
- XSS (Cross Site Scripting) Cheat Sheet Esp: for filter evasion
- w3af User Guide
Программы для пентестинга в Web Security Dojo
Присутствуют следующие программы:
- Burp Suite (бесплатная версия)
- w3af
- sqlmap
- arachni
- metasploit
- Zed Attack Proxy
- OWASP Skavenger
- OWASP Dirbuster
- Paros
- Webscarab
- Ratproxy
- skipfish
- websecurify
- davtest
- J-Baah
- JBroFuzz
- Watobo
- RATS
- Полезные плагины Firefox
Скриншоты Web Security Dojo
Инструкции по Web Security Dojo
Ссылки на инструкции будут добавлены позже.
Comments are Closed