Что такое Dojo

Web Security Dojo — это настроенная автономная обучающая среда по безопасности веб-приложений. Для загрузки доступны версии под VirtualBox и VMware. Dojo — это проект с открытым исходным кодом, цель которого быть — обучающей средой, которую можно использовать как платформу для тестирования на проникновение, поскольку в неё уже включены уязвимые службы и приложения.

Для чего создана Dojo

Для обучения и практическим занятиям по тестированию безопасности веб-приложений. Не нужно сетевое соединение, поскольку одна платформа содержит и инструменты и цели. Таким образом, Dojo идеально подходит для самостоятельного обучения, учебных классов и конференций. Такой подход исключает возможность удалённых атак на наши цели: пока мы настраиваем у себя небезопасный веб-сервер и размещаем на нём небезопасные веб-приложения, нас и наш компьютер может хакнуть совершенно посторонний человек. Использование Dojo, как это уже было сказано, исключает такой риск.

Т.е. Dojo — это песочница для хакеров.

Бесплатно скачать Dojo можно по этой ссылке.

Установка невероятно простая. Запустите VirtualBox, выберите ФайлИмпорт конфигураций, подождите, пока будут завершены все операции — всё, можете загружаться.

А внутри нас ждёт множество разных ништяков:

  • программы для тестирования на проникновение;
  • уязвимые приложения;
  • документация.

01

Включённые цели:

  • OWASP’s WebGoat
  • Google’s Gruyere
  • Damn Vulnerable Web App
  • Hacme Casino
  • OWASP InsecureWebApp
  • w3af’s test website
  • простые учебные задачи от Maven Security (включают REST и JSON)

Инструменты: (со звёздочкой = новинки в этом релизе)

Burp Suite (бесплатная версия)

  • w3af
  • sqlmap
  • arachni *
  • metasploit
  • Zed Attack Proxy *
  • OWASP Skavenger
  • OWASP Dirbuster
  • Paros
  • Webscarab
  • Ratproxy
  • skipfish
  • websecurify
  • davtest
  • J-Baah
  • JBroFuzz
  • Watobo *
  • RATS
  • полезные плагины Firefox

Если нужно сделать какие-либо изменения или обновить систему, то имя пользователя и пароль — dojo. Отсутствует пользователь root, поэтому если вам нужно что-то сделать от рута, то используйте sudo, а в качестве пароля — dojo.

И идея и реализация — очень хорошие. Но есть одно «НО» — всё на английском языке…

Похожие темы

Утилита theHarvester Привет! В этой статье я покажу очередной инструмент, который поможет собрать информацию о целевом объекте, перед началом тестирования на проникн...
Методологии тестирования на проникновение... Да прибудет с Вами сила. Вот с чем я пришел к вам, мои лапочки. Как у кодера, так и у хекера тоже есть свои уровни развития: Уровень 1. Ничего не з...
XiaoPanOS Это довольно любопытный программный пакет, нацеленный исключительно для аудита безопасности Wi-Fi сетей. Это WPA/WPA2/WPS/WEP. Подходит он как для н...
Как сканировать Linux на руткиты (rootkits) с помо... Руткиты (rootkit) — это вредоносные программы, созданные для получения доступа уровня рута, при этом они прячут своё присутствие от антивирусн...
Top-10 утилит для тестирования на проникновение... Короткий пост о топ-10 утилитах для пентестера по версии одного буржуйского форума, вам на одобрение. Все тулзы с ссылками на оф. сайты и инфой ...