Академический Документы
Профессиональный Документы
Культура Документы
Безопасность
Модель OWASP. Настройка лаборатории. VirtualBox. Kali Linux.
BWAPP.
OWASP
TOP
10
Лаборатория
итренировочнаяплощадка
Обзор
лабораториидлятренировки
Перейдем
к
практике
Задача
1.
УстановимисконфигурируемVirtualBox
Задача
2.
УстановимKaliLinuxвсредевиртуализации
Задача
3.
УстановимBwappBBoxвVirtualBox
Домашнее
задание
Дополнительныематериалы
Используемая
литература
©geekbrains.ru
OWASP
TOP
10
Open Web Application Security Project (OWASP) - некоммерческая структура, благотворительный фонд
занимающийся созданием статей, учебных пособий, документации, инструментов и технологий,
находящихся
всвободномдоступе.
Почему
TOP10?
OWASP выделил 10 наиболее опасных уязвимостей и часто встречающихся при конфигурации веб
приложений.
Надо сказать, что Топ постоянно обновляется, и на данный момент существует две версии топа, от
2013
г.
и
от
2017г.-ноэтонеокончательныйвариант,атолькоРелизныйКандидат2.
©geekbrains.ru 1
Лаборатория
и
тренировочная
площадка
Какие
площадкисуществуютдляобучениюOWASPTop10?
“DamnVulnerableLinux”(www.damnvulnerablelinux.org).
Среди дырявых сервисов, для которых легко пишется эксплоит, простых паролей для системных
пользователей и прочих бед плохих системных администраторов, есть и уязвимые веб-сценарии, на
которых можно попрактиковаться. Система легко запускается под виртуальной машиной VMware или
VirtualBox.
Damn
VulnerableWebApp(www.ethicalhack3r.co.uk).
Другиеаналогичныепроекты
OWASP
WebGoat
©geekbrains.ru 2
(
www.owasp.org/index.php/Category:OWASP_WebGoat_Project),
Mutillidae
(www.irongeek.com/i.php?page=security/mutillidae-deliberately-vulnerable-php-owasp-top-10),
Stanford
SecuriBench
(
suif.stanford.edu/~livshits/securibench/).
testphp.acunetix.com,
testasp.acunetix.com
ресурсотHPрасполагаетсяпоадресу:
Тестовый
testaspnet.acunetix.com.
zero.webappsecurity.com.
Ресурс
от
пентестеровIBM
Demo.testfire.net
Мы
же
будем
работатьсBWAPP(http://www.itsecgames.com/).
©geekbrains.ru 3
Так
как
она
наиболеедружественнаядля
новичков.
Надо сказать, что BWAPP - это специальная платформа, которая имеет все уязвимости OWASP
A1-A10, есть несколько уровней сложности для наглядной демонстрации “приближенной” к
реальности
и
возможностьработысопределенной(А1-А10)уязвимостью.
По заявлению разработчиков данный сайт-программу можно взломать 100 разными способами, так
что
на
каждыймодель“А”приходитсяминимум10уязвимостей.
Программа с простым UI, легко устанавливается на VirtualBox, то, что нужно для тренировки навыков
взлома
и
защиты.
Проект
бесплатный,соткрытымкодом.
Обзор
лабораториидлятренировки
Материалы
по
курсурекомендуемыедляпрочтения
Необходимыеинструментыиутилиты
Виртуальная
лаборатория
©geekbrains.ru 4
Если
хотите
поделитьсястатьейиличем
тоеще,кидатьсюда
Перейдем
к
практике
Задача
1.Установимисконфигурируем
Virtual
Box
Скачиваем
самVirtualboxиExtensionPack
Задача
2.УстановимKali
Linux
в
среде
виртуализации
Скачиваем
KaliLinuxRolling
©geekbrains.ru 5
Задача
3.УстановимBwapp
BBox
в
Virtual
Box
Скачиваем
и
устанавливаемBBoxвVirtualBox
Домашнее
задание
1. УстановитьиподготовитьVirtualbox.
2. УстановитьвVirtualBox‘Bbox’.
3. УстановитьвVirtualboxисконфигурироватьKalilinux+метапакетKali-linux-OWASP.
4. * Установить в VirtualBox Windows Server 200x и развернуть в нем BWAPP (Или же
использоватьXAMPналюбойдругойсборкеWindows).
Дополнительныематериалы
1. Owaspофициальнаястраницапроекта
2. РусскаястраницаВикипедиипроектаOWASP
3. СтатьянаHabraHabr
4. Еще
полезнаястатья
5. ПереводOWASPTestingGuide
©geekbrains.ru 6
Используемая
литература
Для
подготовкиданногометодическогопособиябылииспользованыследующиересурсы:
1. Official
OWASPTOP10PDFchart
(
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#tab=OWASP_Top_10_for_
2013 )
2. VirtualBox(https://www.virtualbox.org/)
3. Kali
Linux(https://www.kali.org)
4. BWAPP(w ww.itsecgames.com/ )
©geekbrains.ru 7