OWASP TOP 10 и WEB

Безопасность
Модель OWASP. Настройка лаборатории. VirtualBox. Kali Linux.
BWAPP.
OWASP​​
TOP​​
10

Лаборатория​​
и​​тренировочная​​площадка

Обзор​​
лаборатории​​для​​тренировки

Перейдем​​
к​​
практике

Задача​​
1.​​
Установим​​и​​сконфигурируем​​Virtual​​Box

Задача​​
2.​​
Установим​​Kali​​Linux​​в​​среде​​виртуализации

Задача​​
3.​​
Установим​​Bwapp​​BBox​​в​​Virtual​​Box

Домашнее​​
задание

Дополнительные​​материалы

Используемая​​
литература

©​​geekbrains.ru
OWASP​​
TOP​​
10

Open Web Application Security Project (OWASP) - некоммерческая структура, благотворительный фонд
занимающийся созданием статей, учебных пособий, документации, инструментов и технологий,
находящихся​​
в​​свободном​​доступе.

OWASP не ​ аффилирован (не соединен) ни с одной компанией, занимающейся разработкой

технологий, но он поддерживает грамотное использование технологий безопасности. Проект избегает
аффилирования, так как полагает, что свобода от влияния со стороны других организаций может
облегчить распространение беспристрастной, полезной и дешевой информации о безопасности
приложений.
Участники сообщества OWASP делают приложения безопаснее, учитывая человеческий фактор и
технологический​​уровень.*

Почему​​
TOP​​10?
OWASP выделил 10 наиболее опасных уязвимостей и часто встречающихся при конфигурации веб
приложений.
Надо сказать, что Топ постоянно обновляется, и на данный момент существует две версии топа, от
2013​​
г.​​
и​​
от​​
2017​​г.​​-​​но​​это​​не​​окончательный​​вариант,​​а​​только​​Релизный​​Кандидат​​2.

©​​geekbrains.ru 1
Лаборатория​​
и​​
тренировочная
площадка
Какие​​
площадки​​существуют​​для​​обучению​​OWASP​​Top​​10?

“​Damn​​Vulnerable​​Linux​”​​(​www.damnvulnerablelinux.org​).

Среди дырявых сервисов, для которых легко пишется эксплоит, простых паролей для системных
пользователей и прочих бед плохих системных администраторов, есть и уязвимые веб-сценарии, на
которых можно попрактиковаться. Система легко запускается под виртуальной машиной VMware или
VirtualBox.

Damn​​
Vulnerable​​Web​​App​​(​www.ethicalhack3r.co.uk​).

Написанное на PHP/MySQL приложение содержит самые разные типы уязвимостей, которые

только​​могут​​быть​​у​​веб-приложений.

Другие​​аналогичные​​проекты

OWASP​​
​​ WebGoat

©​​geekbrains.ru 2
(​
www.owasp.org/index.php/Category:OWASP_WebGoat_Project​),

Mutillidae

(​www.irongeek.com/i.php?page=security/mutillidae-deliberately-vulnerable-php-owasp-top-10​),
​​

Stanford​​
SecuriBench

(​
suif.stanford.edu/~livshits/securibench/​).

Площадки для демонстрации способностей своих продуктов, создают и разработчики коммерческих

сканеров,​​​
Acutenix​​предлагает​​сразу​​три​​
сайта​​на​​разных​​платформах:

testphp.acunetix.com​,

testasp.acunetix.com

ресурс​​от​​HP​​​располагается​​по​​адресу:
Тестовый​​

testaspnet.acunetix.com​.

zero.webappsecurity.com​.

Ресурс​​
от​​
пентестеров​​IBM

Demo.testfire.net

Мы​​
же​​
будем​​
работать​​с​​BWAPP​​(​http://www.itsecgames.com/​).

©​​geekbrains.ru 3
Так​​
как​​
она​​
наиболее​​дружественная​​для​​
новичков.

Надо сказать, что BWAPP - это специальная платформа, которая имеет все уязвимости OWASP
A1-A10, есть несколько уровней сложности для наглядной демонстрации “приближенной” к
реальности​​
и​​
возможность​​работы​​с​​определенной​​(А1​​-​​А10)​​уязвимостью.

По заявлению разработчиков данный сайт-программу можно взломать 100 разными способами, так
что​​
на​​
каждый​​модель​​“А”​​приходится​​минимум​​10​​уязвимостей.

Программа с простым UI, легко устанавливается на VirtualBox, то, что нужно для тренировки навыков
взлома​​
и​​
защиты.

Проект​​
бесплатный,​​с​​открытым​​кодом.

Обзор​​
лаборатории​​для​​тренировки

Материалы​​
по​​
курсу​​рекомендуемые​​для​​прочтения

Необходимые​​инструменты​​и​​утилиты

Виртуальная​​
лаборатория

©​​geekbrains.ru 4
Если​​
хотите​​
поделиться​​статьей​​или​​чем​​
то​​еще,​​кидать​​сюда

Перейдем​​
к​​
практике
Задача​​
1.​​Установим​​и​​сконфигурируем​​
Virtual​​
Box

Скачиваем​​
сам​​Virtualbox​​и​​Extension​​Pack

Задача​​
2.​​Установим​​Kali​​
Linux​​
в​​
среде​​
виртуализации

Скачиваем​​
Kali​​Linux​​Rolling

©​​geekbrains.ru 5
Задача​​
3.​​Установим​​Bwapp​​
BBox​​
в​​
Virtual​​
Box

Скачиваем​​
и​​
устанавливаем​​BBox​​в​​Virtual​​Box

Домашнее​​
задание
1. Установить​​и​​подготовить​​Virtualbox.
2. Установить​​в​​Virtual​​Box​​‘Bbox’.
3. Установить​​в​​Virtualbox​​и​​сконфигурировать​​Kali​​linux​​+​​метапакет​​Kali-linux-OWASP.
4. * Установить в VirtualBox Windows Server 200x и развернуть в нем BWAPP (Или же
использовать​​XAMP​​на​​любой​​другой​​сборке​​Windows).

Дополнительные​​материалы
1. Owasp​​официальная​​страница​​проекта
2. Русская​​страница​​Википедии​​проекта​​OWASP
3. Статья​​на​​HabraHabr
4. Еще​​
полезная​​статья
5. Перевод​​OWASP​​Testing​​Guide

©​​geekbrains.ru 6
Используемая​​
литература
Для​​
подготовки​​данного​​методического​​пособия​​были​​использованы​​следующие​​ресурсы:

1. Official​​
OWASP​​TOP​​10​​PDF​​chart
(​
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#tab=OWASP_Top_10_for_
2013​ )
2. VirtualBox​​(​https://www.virtualbox.org/​)
3. Kali​​
Linux​​(​https://www.kali.org​)
4. BWAPP​​(w ​ ww.itsecgames.com/​ )

©​​geekbrains.ru 7