Название: «Хакинг DVWA. Полное прохождение»
Автор: Михаил Тарасов
Здравствуйте, дорогие читатели. Рад приветствовать Вас на
страницах данной книги. Это издание представляет собой
полное прохождение уязвимого веб-приложения «DVWA».
Грубо говоря – это тренировочный стенд для оттачивания
навыков эксплуатации основных уязвимостей, которые
встречаются в веб-приложениях повсеместно.
Так как же расшифровывается «DVWA», спросите Вы?
«DVWA» или Damn Vulnerable Web Application – это веб-
приложение на PHP/MySQL, которое очень уязвимо, я бы
даже сказал, чертовски уязвимо. Оно было создано для того,
чтобы специалисты по безопасности, а также разработчики,
смогли тестировать его на предмет потенциальных
уязвимостей.
Интерфейс приложения достаточно прост, и разбит на
категории уязвимостей, в каждой из которых есть три уровня
безопасности: низкий (low), средний (medium), и высокий
(high).
Когда я только начинал тестировать приложение, у меня была
версия v1.0.7, которая есть в уязвимой виртуальной машине
Metasploitable 2. Эту машину можно установить в среду
виртуализации VirtualBox, Vmware и другие.
Вот ссылка на скачивание Metasploitable 2:
https://sourceforge.net/projects/metasploitable/files/Metasploitable
2/
Обращаю Ваше внимание на то, что версия v1.0.7 содержит
не так много видов уязвимостей, по сравнению с версией
v.1.9. Последнюю версию «DVWA» можно найти в
виртуальной машине «Web Security Dojo». Web Security Dojo –
это также виртуальная машина, предоставляющая
инструменты, цели и документацию для обучения
тестирования безопасности веб-приложений. Интернет не
требуется для использования. Идеально подходит для тех, кто
заинтересован в практике этического взлома, тестирования на
проникновение, вознаграждения за обнаружение ошибок и
захвата флага (CTF). Резюмируя работу с этой виртуальной
машиной, я хотел бы выделить нужную нам версию «DVWA»
v.1.9.
В нее входят следующие уязвимости:
- Brute Force;
- Command Injection;
- CSRF;
- File Inclusion;
- Insecure CAPTCHA;
- SQL Injection;
- SQL Injection (Blind);
- Weak Session IDs;
- XSS (DOM);
- XSS (Reflected);
- XSS (Stored);
- CSP Bypass;
- JavaScript.
Скачать образ виртуальной машины можно, перейдя по
ссылке: https://sourceforge.net/projects/websecuritydojo/
Информация и методы решения и эксплуатации тех или иных
уязвимостей, не претендуют на прописную истину, так как вариантов для обнаружения уязвимостей и обхода
всевозможных фильтров сервера существует великое
множество.
Моя задача, как автора, показать все многообразие ошибок,
которые преимущественно встречаются в веб-приложениях.
Надеюсь, книга поможет Вам начать путь тестировщика
программного обеспечения, а также понять механизмы
работы компонентов системы, при реализации разных
векторов атак на приложения.
С надеждой на Ваше развитие, Михаил Тарасов (Timcore).
Цена: 1500 руб.
Для приобретения пишите в ЛС или на почту: mikhailtarasov2016@yandex.ru
