Dojo — лаборатория для тестирования на проникновение

Что такое Dojo

Web Security Dojo — это настроенная автономная обучающая среда по безопасности веб-приложений. Для загрузки доступны версии под VirtualBox и VMware. Dojo — это проект с открытым исходным кодом, цель которого быть — обучающей средой, которую можно использовать как платформу для тестирования на проникновение, поскольку в неё уже включены уязвимые службы и приложения.

Для чего создана Dojo

Для обучения и практическим занятиям по тестированию безопасности веб-приложений. Не нужно сетевое соединение, поскольку одна платформа содержит и инструменты и цели. Таким образом, Dojo идеально подходит для самостоятельного обучения, учебных классов и конференций. Такой подход исключает возможность удалённых атак на наши цели: пока мы настраиваем у себя небезопасный веб-сервер и размещаем на нём небезопасные веб-приложения, нас и наш компьютер может хакнуть совершенно посторонний человек. Использование Dojo, как это уже было сказано, исключает такой риск.

Т.е. Dojo — это песочница для хакеров.

Бесплатно скачать Dojo можно по этой ссылке.

Установка невероятно простая. Запустите VirtualBox, выберите ФайлИмпорт конфигураций, подождите, пока будут завершены все операции — всё, можете загружаться.

А внутри нас ждёт множество разных ништяков:

  • программы для тестирования на проникновение;
  • уязвимые приложения;
  • документация.

01

Включённые цели:

  • OWASP’s WebGoat
  • Google’s Gruyere
  • Damn Vulnerable Web App
  • Hacme Casino
  • OWASP InsecureWebApp
  • w3af’s test website
  • простые учебные задачи от Maven Security (включают REST и JSON)

Инструменты: (со звёздочкой = новинки в этом релизе)

Burp Suite (бесплатная версия)

  • w3af
  • sqlmap
  • arachni *
  • metasploit
  • Zed Attack Proxy *
  • OWASP Skavenger
  • OWASP Dirbuster
  • Paros
  • Webscarab
  • Ratproxy
  • skipfish
  • websecurify
  • davtest
  • J-Baah
  • JBroFuzz
  • Watobo *
  • RATS
  • полезные плагины Firefox

Если нужно сделать какие-либо изменения или обновить систему, то имя пользователя и пароль — dojo. Отсутствует пользователь root, поэтому если вам нужно что-то сделать от рута, то используйте sudo, а в качестве пароля — dojo.

И идея и реализация — очень хорошие. Но есть одно «НО» — всё на английском языке…

Оставить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *