Web Security Dojo

Описание Web Security Dojo

Web Security Dojo – это бесплатная, с открытым исходным кодом автономная среда обучения безопасности и тестированию на проникновения веб-приложений. Инструменты + Цели = Dojo

На чистую установку Ubuntu v12.04LTS, пропатченную необходимыми обновлениями и дополнениями гостевой ОС VirtualBox для простого использования, добавлены различные инструменты тестирования безопасности веб-приложений и уязвимые веб-приложения.

Web Security Dojo для обучения и практики по техникам тестирования безопасности веб-приложений. Этот набор идеален для самообразования и оценки навыков, а также для тренировки в учебных заведения и на конференциях, поскольку он не требует сетевого подключения. Dojo содержит всё необходимое для начала работы – инструменты, цели и документацию (на английском языке).

Домашняя страница: https://www.mavensecurity.com/resources/web-security-dojo/

Автор: Maven Security Consulting

Лицензия: ?

Установка Web Security Dojo

У вас должен быть установлен VirtualBox. После этого скачайте контейнер с Web Security Dojo, последняя версия по ссылке.

Когда скачивание завершится, дважды кликните по скаченному файлу и импортируйте настройки виртуальной машины в VirtualBox.

После окончания импорта настроек, в списке виртуальных машин появится новая – запустите её как обычную виртуальную машину.

Учётные данные пользователя по умолчанию dojo:dojo

Уязвимые приложения в Web Security Dojo

Установлены и настроены вместе с необходимыми компонентами (веб-сервером, СУБД, PHP) следующие уязвимые веб-приложения:

  • DVWA Login: admin:password
  • Mutillidae/NOWASP
  • WebGoat login: guest:guest
  • Insecure Web App
  • w3af test framework
  • WAVSEP Scanner Testbench
  • XSS Practice Cases (WAVSEP XSS w/ hints hidden)
  • REST demos
  • JSON demo
  • DOM XSS demo
  • Simple Maven PHP demos
  • sqli-labs
  • Gruyere
  • Hacme Casino

Документация в Web Security Dojo

Включены следующие документы (все на английском языке):

  • OWASP Top 10 - 2010
  • OWASP Top 10 - 2013
  • OWASP_Testing_Guide_v3
  • OWASP_Testing_Guide_v4
  • OWASP_Top_10_2007
  • WASC-TC-v1_0
  • WASC-TC-v2_0
  • Hacme Casino User Guide
  • Damn Vulnerable Web Application (DVWA) официальная документация (/var/www/dvwa/docs/DVWA_v1.3.pdf)
  • Gruyere документация
  • HTML5 Security Cheatsheet
  • XSS (Cross Site Scripting) Cheat Sheet Esp: for filter evasion
  • w3af User Guide

Программы для пентестинга в Web Security Dojo

Присутствуют следующие программы:

  • Burp Suite (бесплатная версия)
  • w3af
  • sqlmap
  • arachni
  • metasploit
  • Zed Attack Proxy
  • OWASP Skavenger
  • OWASP Dirbuster
  • Paros
  • Webscarab
  • Ratproxy
  • skipfish
  • websecurify
  • davtest
  • J-Baah
  • JBroFuzz
  • Watobo
  • RATS
  • Полезные плагины Firefox

Скриншоты Web Security Dojo

81

82

83

Инструкции по Web Security Dojo

Ссылки на инструкции будут добавлены позже.