Merhaba arkadaşlar. Bu yazımda localhost’unuza kurarak web application'ları üzerinde hacking girişimleri yapmanızı sağlayan saldırıya açık (benim bildiğim) 10 laboratuvar sistemini sizlerle paylaşıyorum.
Açıkcası aşağıdaki çoğu yazılımı tam detayıyla bilmiyorum. Benim kullandıklarım DVWA, WebGoat ve Hackademic..
Şimdi laboratuvarları tanıtıma başlayalım…
1. DVWA (Dam Vulnerable Web Application)
Bu yazılım, PHP/MySQL web uygulamalarını kapsamaktadır. SQLi, Cross Site Scripting(Xss), Blind SQLi vb.. penetrasyon testlerini yapmanızı sağlayarak bilgi, yetenek ve becerilerinizi test edip geliştirebileceğiniz ortamı localhost bünyesinde size sunmaktadır. Benim de kullandığım bir yazılımdır ve bu işi yapan yazılımlar arasında en ünlüsü diyebilirim. DVWA, Ryan Dewhurst(ethicalhack3r) tarafından geliştirilmiştirve açık kaynak kodlu bir RandomStorm projesidir.
Detaylı bilgi : http://www.dvwa.co.uk
2. Mutillidae
Adrian “Irongeek” Crenshaw ve Jeremy “webpwnized” Druin tarafından geliştirilen web uygulamaları penetrasyon testleri ve hackleme amaçlı ücretsiz kaynak kodlu yazılımıdır. Clickjacking, SQLi, Xss, HTML Injection, Javascript Injection saldırıları gibi gibi pratikler yapabileceğiniz savunmasız bir ortam tasarlanmıştır.
Detaylı bilgi : http://sourceforge.net/projects/mutillidae
3. SQLol
Spider Labs’ın projesidir ve açık kaynak kodludur. SQL Injection atakları yapabilme ve exploit edebilme ortamını sağlayan bir platformdur. SQLol’u indirin ve localhost veya web sunucunuza yükleyin. includes/database.config.php içeriğine veritabanı bilgilerinizi yazınız. Daha sonra web tarayıcınızdan resetbutton.php linkine girip yükleme yapın. Artık ortam hazır oynamaya başlayabilirsiniz..
Detaylı bilgi : https://github.com/SpiderLabs/SQLol
4. Hackxor
Albino tarafından geliştirilen web uygulamaları üzerinden bir hacking oyunudur. Duymuştum ama hiç denemedim pek detaylı bilgim yok eğer bunun hakkında bilgisi olan varsa yorum olarak bizimle paylaşabilir
Detaylı bilgi : http://sourceforge.net/projects/hackxor, http://hackxor.sourceforge.net/cgi-bin/index.pl
5. The BodgeIt Store
Web uygulamaları penetrasyon testleri için özellikle yeni başlayanlara uygun olarak geliştirilmiş açık kaynak kodlu savunmasız bir laboratuvar alanıdır.. Java ortamında çalışıyor örnek; Tomcat.
Xss, SQLi, gizli alanlar, gizli içerikler, debug code, Csrf vb.. gibi açıklıklar içermektedir.
Detaylı bilgi : http://code.google.com/p/bodgeit
6. Exploit KB / exploit.co.il Vulnerable Web App
Çeşitli SQLi tekniklerini test etmek ve fckeditor’e dayalı bir içerik yönetim sistemi ile dinamik bir web sitesi için öğrenme platformu olarak tasarlanan ünlü savunmasız web uygulamalarından biridir. Bu web uygulama BackTrack 5 R2'de yer almaktadır.
Detaylı bilgi : http://exploit.co.il/projects/vuln-web-app
7. WackoPicko
Adam Doupé tarafından yazılmış savunmasız bir web uygulamasıdır. XSS açıkları, SQLi, command-line injections, SessionID açıkları, file inclusions, parameters manipulation, reflected XSS behind JavaScript vb… gibi bilgi ve becerilerinizi test edip geliştirebileceğiniz Black-Box Web Pentest analizi laboratuvarıdır.
Detaylı bilgi : https://github.com/adamdoupe/WackoPicko
8. WebGoat
Kendimin de kullandığı, bir OWASP projesi olan WebGoat; web uygulama güvenlik dersleri(testleri) ve kavramları öğretmek için tasarlanmış bir kasten güvensiz bir test laboratuvarıdır.
Detaylı bilgi : http://code.google.com/p/webgoat
9. OWASP Hackademic Challenges Project
Web uygulama güvenliği konusundaki bilginizi test etmenize yardımcı olacak başka bir OWASP Projesi. Gerçekçi ama aynı zamanda kontrol edilebilir ve güvenli bir ortamda web uygulamalarına saldırmak için kullanabilirsiniz. Şu anda online olarak hack etmek için 10 web uygulama güvenlik senaryosu vardır. Kaynak kodları yayımlanmadan önce bende katıldım ve Top100'de (http://hackademic1.teilar.gr/challenges/top100.php) zamanında 61. olmuştum :) Şimdi yenilenmiş liste, tekrar kasmak gerek :)
Detaylı bilgi : https://code.google.com/p/owasp-hackademic-challenges
10. XSSeducation
Sadece XSS saldırıları için AJ00200 tarafından geliştirilmiş bir uygulamadır. Çeşitli zorlukları gerçekçi uygulama içinde içermektedir ve yapımcısı tarafından sürekli geliştirilmektedir.
Detaylı bilgi : http://wiki.aj00200.org/wiki/XSSeducation
Hiç yorum yok:
Yorum Gönder