OWASP BWA
(你的世界是个什么样的世界?你说,咱们倾听!)php
-----------------web
OWASP BWA数据库
OWASP BWA(破碎的Web应用程序)是一个Ubuntu网站(Linux发行版),其中有多个Web应用程序故意存在漏洞,正如咱们在“实用漏洞Web应用程序调查 ”一文中提到的那样。是虚拟机映像。浏览器
OWASP BWA(Broken Web Apps)是由国际信息安全领域著名的非营利性研究组织OWASP专门为广大对Web安全有兴趣的研究者和初学者开发的一个靶机镜像,聚集了大量存在已知安全漏洞的训练实验环境和真实Web应用程序,里面有各类预先设置的漏洞Web应用(包含OWASP Top 10主流类型安全漏洞),并按照安全级别进行了划分,给出各个安全级别上存在的缺陷代码程序,很是便于初学者由浅入深地逐步学习并提升技术能力。同时靶机镜像中的全部Web应用都是开放源代码的,这使得使用者能够采用源代码审计分析方法锻炼发现与修补安全漏洞的技能。OWASP BWA靶机镜像以VMware虚拟机镜像格式发布,使用者无须配置便可直接启动靶机,对其进行扫描与渗透攻击测试。安全
本书基于OWASP BWA靶机镜像的版本为v0.94,于2011年7月24日发布,基础操做系统平台为Ubuntu 10.04 LTS,依赖网络服务包括Apache、PHP、Perl、MySQL、PostgreSQL、Tomcat、OpenJDK与Mono,使用的网络与数据库管理服务有OpenSSH、Samba、Subversion与phpMyAdmin,其中存在已知安全漏洞的训练实验环境与真实Web应用程序如表2-3所示。微信
表 OWASP BWA靶机镜像中的缺陷Web应用程序列表
缺陷Web应用程序类别 缺陷Web应用程序 版本 Web应用程序代码语言 定V公司网站位置
故意引入安全漏洞的训练实验环境 OWASP WebGoat version 5.3.x Java内部业务
OWASP Vicnum version 1.4 PHP/Perl 未连接
Mutillidae 1.5 PHP 内部业务
Damn Vulnerable Web Application 1.07.x PHP 内部业务
ZAP-WAVE Java JSP 内部业务
Ghost PHP 内部业务
Peruggia 1.2 PHP 内部业务
Google Gruyere 2010-07-15 Python 未连接
Hackxor Java JSP 未连接
WackoPicko PHP 未连接
BodgeIt Java JSP 未连接
存有已知安全漏洞的真实Web应用程序版本 GetBoo 1.04 PHP 未连接
WordPress 2.0.0 PHP 外部门户
OrangeHRM 2.4.2 PHP 未连接
GetBoo 1.04 PHP 未连接
GTD-PHP 2.1 PHP 未连接
Yazd 1.0 Java 未连接
WebCalendar 1.03 PHP 未连接
TikiWiki 1.9.5 PHP 未连接
Gallery2 2.1 PHP 未连接
Joomla 1.5.15 PHP 外部门户网络
从表中能够看到,OWASP BWA靶机镜像中拥有近十个引入了各种主流Web安全漏洞特地构造的训练实验环境,以及一些存在着已被公开披露安全漏洞的流行Web应用程序。学习
1.利用虚拟机打开OWASP_Broken_web文件测试
下载安装包:2,虚拟机打开文件(虚拟机安装完成,而后直接点击下面的.vmx文件,就能够打开OWASP)网站
3,打开完成,能够登录
4,输入登录帐号密码后,帐号和密码在Linux界面有提示,而后浏览器中输入web的url地址就能够打开环境
http://192.168.40.133/phpadmin
✔
欢迎关注微信公众号 : 码奋
Email:maafenn@gmail.com