Что такое Dojo
Web Security Dojo — это настроенная автономная обучающая среда по безопасности веб-приложений. Для загрузки доступны версии под VirtualBox и VMware. Dojo — это проект с открытым исходным кодом, цель которого быть — обучающей средой, которую можно использовать как платформу для тестирования на проникновение, поскольку в неё уже включены уязвимые службы и приложения.
Для чего создана Dojo
Для обучения и практическим занятиям по тестированию безопасности веб-приложений. Не нужно сетевое соединение, поскольку одна платформа содержит и инструменты и цели. Таким образом, Dojo идеально подходит для самостоятельного обучения, учебных классов и конференций. Такой подход исключает возможность удалённых атак на наши цели: пока мы настраиваем у себя небезопасный веб-сервер и размещаем на нём небезопасные веб-приложения, нас и наш компьютер может хакнуть совершенно посторонний человек. Использование Dojo, как это уже было сказано, исключает такой риск.
Т.е. Dojo — это песочница для хакеров.
Бесплатно скачать Dojo можно по этой ссылке.
Установка невероятно простая. Запустите VirtualBox, выберите Файл → Импорт конфигураций, подождите, пока будут завершены все операции — всё, можете загружаться.
А внутри нас ждёт множество разных ништяков:
- программы для тестирования на проникновение;
- уязвимые приложения;
- документация.
Включённые цели:
- OWASP’s WebGoat
- Google’s Gruyere
- Damn Vulnerable Web App
- Hacme Casino
- OWASP InsecureWebApp
- w3af’s test website
- простые учебные задачи от Maven Security (включают REST и JSON)
Инструменты: (со звёздочкой = новинки в этом релизе)
Burp Suite (бесплатная версия)
- w3af
- sqlmap
- arachni *
- metasploit
- Zed Attack Proxy *
- OWASP Skavenger
- OWASP Dirbuster
- Paros
- Webscarab
- Ratproxy
- skipfish
- websecurify
- davtest
- J-Baah
- JBroFuzz
- Watobo *
- RATS
- полезные плагины Firefox
Если нужно сделать какие-либо изменения или обновить систему, то имя пользователя и пароль — dojo. Отсутствует пользователь root, поэтому если вам нужно что-то сделать от рута, то используйте sudo, а в качестве пароля — dojo.
И идея и реализация — очень хорошие. Но есть одно «НО» — всё на английском языке…