鐵人賽最後一天啦!!!
最後一天介紹的不是攻擊也不是防禦的工具,
今天要講的是充滿漏洞的測試平台(系統與網頁)。
畢竟介紹了這麼多工具,大家多少都會手癢想試試看,
那許多篇文章也有不斷重複重複再重複提醒各位,
請不要違法、請勿在未授權的情況下去攻擊他人網站,
所以有了武器,有了技巧到底該怎麼試試自己的能耐?
就好像軍人警察平常練習射擊,一定是到靶場打靶。
葉問雖然詠春技巧點滿,也不會整天到路上打人,
平常也是用木人樁好好練習。
以下介紹幾個不同的滲透測試環境(或稱靶機),
也不會有詳細的介紹跟教學,可以找到一個自己有興趣的試試看。
- Metasploitable 2
聽名字就知道是Metasploit專案底下的產物,
Metasploitable 2是一個以Linux系統的虛擬機,
可用來進行系統、資料庫、網頁的滲透滲透練習。
這是我個人第一個接觸的靶機,下載後用虛擬機開啟就可以了,
非常的方便,只是虛擬機的介面是指令介面。
Metasploitable 2的網頁部分有Mutillidae跟DVWA,兩個知名的網頁測試環境。
2. DVWA
就是剛剛上面最後才提到的呀~
DVWA全名是Damn Vulnerable Web Application,
它跟第一個介紹的不一樣,DVWA是純用於網頁漏洞測試,
下載下來也不會像Metasploitable那樣有一個虛擬機映像檔,
所以容量小很多,不過你就沒辦法直接開啟了,
必須要架好一個環境讓你架設網站,這邊我是推薦下載XAMPP,
XAMPP可以幫你開啟php跟MySQL,接著你就可以掛上DVWA。
這邊提到了一些與網頁有關的東西,分享一下,
其實我當初在玩這個DVWA的時候,
根本對甚麼php, MySQL, Apache, XAMPP,前後端運作模式等等
一堆東西都根本完全不了解。我是覺得如果可以了解基本概念與運作,
才來接觸關於資安的東西,才開始練習滲透測試,是滿不錯的想法,
不過其實不管網路領域或是網頁領域內容都相當豐富,
有時候怕自己想說瞭解一下,就發散到一直沒辦法結束QQ
像之前我朋友說想走網頁後端,我跟他說你想走網頁喔,
HTML跟CSS滿基礎的,你可以花兩天稍微看看是甚麼東西,
然後他就看了一個月XDDDD
他說無法接受一知半解,它一定好好搞懂那些東西。
也許這也是好事,每個人想法是不同,
但我覺得如果方向明確,可以直接先試試玩滲透看看,
或是有時間也可以平行去學習。
- Mutillidae
Mutillidae與DVWA一樣是作為網頁滲透測試的環境,
那一樣是由php運行,可以先安裝XAMPP再開啟。 - WebGoat
WebGoat跟Mutillidae, DVWA其實也都是一樣性質的東西,
可以當成是不同品牌做出來的產品而已,
WebGoat是由JAVA寫成,所以需要安裝JRE環境。
這邊提一下關於DVWA, Mutillidae, WebGoat我個人的想法,
雖然這些網頁的滲透環境,都可以在本機上安裝去練習,
但我建議是開個虛擬機,不管用甚麼作業系統都好,
然後在虛擬機中安裝這個測試環境,再用本機去連線進行測試。 - bWAPP/bee-box
最後一個介紹的有兩個東西~
直接就推薦抓bee-box就好,它就像是第一個介紹的一樣是個虛擬機,
那打開來之後還是有GUI介面的喔,
連線過去的網頁就是bWAPP網頁漏洞測試環境,
那bWAPP性質就跟介紹的2~4個一樣。
以上~ 詳細的教學就大家再另行尋找了。
就稍微介紹了幾個測試環境,有興趣練習的可以找個自己喜歡適合的就好。
我的第一次鐵人賽也在今天圓滿落幕了,
雖然內容不是很豐富詳細,
不過在這陣子工作繁忙、生活頹廢的情況下,
可以順利的完成鐵人賽也是心滿意足。
未來仍然會不斷持續努力,
希望能夠發出更多有質量的好文章。
謝謝觀看的大家。
本文為作者參與第 11 屆 iT 邦幫忙鐵人賽的文章
原文連結 https://ithelp.ithome.com.tw/users/20114110/ironman/2536
Good post. I learn something new and challenging on blogs
I stumbleupon on a daily basis. It will always be exciting to read through content from other authors and use something from
other sites.
my site … Royal CBD
Have you ever thought about creating an e-book or guest authoring on other blogs?
I have a blog based upon on the same ideas you discuss and
would love to have you share some stories/information. I know my
readers would appreciate your work. If you’re even remotely interested, feel
free to shoot me an e mail.
Here is my web-site … Buy CBD
http://vulnweb.com/
這是一個專門給人打的網站,可以上去學習和練習。