Jest to aplikacja dla systemu Linux o nazwie bWAPP, której najnowszą wersję można pobrać jako bWAPP_latest.zip. Można go uruchomić online w darmowym dostawcy hostingu OnWorks dla stacji roboczych.
Pobierz i uruchom online tę aplikację o nazwie bWAPP z OnWorks za darmo.
Postępuj zgodnie z tymi instrukcjami, aby uruchomić tę aplikację:
- 1. Pobrałem tę aplikację na swój komputer.
- 2. Wpisz w naszym menedżerze plików https://www.onworks.net/myfiles.php?username=XXXXX z wybraną nazwą użytkownika.
- 3. Prześlij tę aplikację w takim menedżerze plików.
- 4. Uruchom emulator online OnWorks Linux lub Windows online lub emulator online MACOS z tej witryny.
- 5. W systemie operacyjnym OnWorks Linux, który właśnie uruchomiłeś, przejdź do naszego menedżera plików https://www.onworks.net/myfiles.php?username=XXXXX z wybraną nazwą użytkownika.
- 6. Pobierz aplikację, zainstaluj ją i uruchom.
ZDJĘCIA EKRANU:
bWAPP
OPIS:
bWAPP, czyli błędna aplikacja internetowa, jest darmową i celowo niezabezpieczoną aplikacją o otwartym kodzie źródłowym.bWAPP pomaga entuzjastom bezpieczeństwa, programistom i studentom wykrywać i zapobiegać lukom w zabezpieczeniach sieci. bWAPP przygotowuje jeden do przeprowadzenia udanych testów penetracyjnych i etycznych projektów hakerskich. Co sprawia, że bWAPP jest tak wyjątkowy? Cóż, ma ponad 100 błędów internetowych! Obejmuje wszystkie główne znane luki w zabezpieczeniach sieci Web, w tym wszystkie zagrożenia związane z projektem OWASP Top 10. Koncentrujemy się nie tylko na jednym konkretnym problemie... bWAPP obejmuje szeroki zakres luk w zabezpieczeniach!
bWAPP to aplikacja PHP, która korzysta z bazy danych MySQL. Może być hostowany w systemie Linux/Windows z Apache/IIS i MySQL. Jest obsługiwany na WAMP lub XAMPP. Inną możliwością jest pobranie bee-box, niestandardowej maszyny wirtualnej z preinstalowanym bWAPP.
Ten projekt jest częścią projektu ITSEC GAMES. Więcej o projektach ITSEC GAMES i bWAPP znajdziesz na naszym blogu.
Wyłącznie do testowania bezpieczeństwa i celów edukacyjnych!
Namaste
Malika Mesellema
Zakładka Charakterystyka
- Wstrzykiwanie SQL, HTML, iFrame, SSI, OS Command, PHP, XML, XPath, LDAP i SMTP
- Blind SQL Injection i Blind OS Command Injection
- Wstrzykiwanie Blind SQL oparte na logice i czasie
- Drupageddon i Drupalgeddon2 (CVE-2018-7600)
- Problemy z AJAX i Web Services (JSON/XML/SOAP)
- Luka Heartbleed (OpenSSL) + skrypt wykrywania w zestawie
- Luka Shellshock (CGI)
- Skrypty między witrynami (XSS) i śledzenie między witrynami (XST)
- Tag BBCode phpMyAdmin XSS
- Fałszerstwo żądań między lokacjami (CSRF)
- Ujawnianie informacji: favikony, informacje o wersji, niestandardowe nagłówki,...
- Nieograniczone przesyłanie plików i pliki backdoora
- Stare, kopie zapasowe i pliki bez odniesień
- Problemy z uwierzytelnianiem, autoryzacją i zarządzaniem sesjami
- Ataki na hasło i CAPTCHA
- Niebezpieczne konfiguracje DistCC, FTP, NTP, Samba, SNMP, VNC, WebDAV
- Dostęp do dowolnych plików za pomocą Samba
- Przechodzenie przez katalogi i nieograniczony dostęp do plików
- Dołączanie plików lokalnych i zdalnych (LFI/RFI)
- Fałszowanie żądań po stronie serwera (SSRF)
- Ataki na zewnętrzne podmioty XML (XXE)
- Ataki typu Man-in-the-Middle (HTTP/SMTP)
- Zanieczyszczenie parametrów HTTP i manipulowanie czasownikami HTTP
- Ataki typu Denial-of-Service (DoS): Slow Post, SSL-Exhaustion, Bomba XML,...
- Luka w zabezpieczeniach POODLE
- Ataki SSL NARUSZENIE/PRZESTĘPCZOŚĆ/BEAST
- Problemy z technologią ClickJacking w HTML5 i przechowywaniem w internecie
- Niebezpieczny element iFrame (piaskownica HTML5)
- Niezabezpieczone bezpośrednie odniesienia do obiektów (manipulowanie parametrami)
- Niebezpieczne przechowywanie kryptograficzne
- Problemy z udostępnianiem zasobów między źródłami (CORS)
- Ataki na pliki zasad w wielu domenach (Flash/Silverlight)
- Eskalacje uprawnień lokalnych: udev, sendpage
- Zatrucie plików cookie i resetowania hasła
- Ataki na nagłówek hosta: zatrucie resetowania hasła i zanieczyszczenia pamięci podręcznej
- Zdalne wykonanie kodu PHP CGI
- Niebezpieczna funkcja oceny PHP
- Lokalne i zdalne przepełnienia bufora (BOF)
- Podatności phpMyAdmin i SQLiteManager
- Luki w zabezpieczeniach serwera WWW Nginx
- Dzielenie odpowiedzi HTTP, niesprawdzone przekierowania i przekierowania
- Luki w zabezpieczeniach WSDL SOAP
- Uwierzytelnianie oparte na formularzach i tryby bez uwierzytelniania
- Integracja z Active Directory LDAP
- Fuzzing możliwości
- i wiele więcej ...
- WSKAZÓWKA: pobierz naszą maszynę wirtualną bee-box > posiada WSZYSTKIE niezbędne rozszerzenia
- bee-box jest kompatybilny z VMware i VirtualBox!
- Ciesz się małymi pszczółkami ;)
Publiczność
Administratorzy systemu, programiści, audytorzy, specjaliści ds. bezpieczeństwa
Interfejs użytkownika
Oparte na sieci Web
Język programowania
PHP, JavaScript
Środowisko bazy danych
MySQL
Jest to aplikacja, którą można również pobrać z https://sourceforge.net/projects/bwapp/. Jest hostowany w OnWorks, aby można go było uruchomić online w najprostszy sposób z jednego z naszych bezpłatnych systemów operacyjnych.