• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья bWaPP #0 Боль, слезы и этичный хакинг (Внимание! Эта статья для самых маленьких и неопытных)

bwapp.png

Доброго дня, коллеги!
На сайте встречается огромное количество прекрасных статей от опытных специалистов из разных сфер информационной безопасности.
Но что делать совсем зеленым и неопытным, которые только хотят попробовать себя в инфобезе? Вокруг очень много разных данных, и все по-разному предлагают подходить к процессу обучения.

Я хочу предложить вам свою версию получения навыков и опыта при помощи такого древнего зла как Bwapp. Скорее всего, после услышанного названия в меня полетят различные продукты жизнедеятельности, и крики: «Ну ты бы еще чего похуже предложил!». Пардоньте, ничего хуже я пока не нашел. Я считаю, что учиться нужно на том, что неплохо задокументировано и на тему чего написано много статей по прохождению задачек различной сложности.

Цитирую перевод автора данного творения:
«bWAPP, или глючное веб-приложение, - это бесплатное веб-приложение с открытым исходным кодом, намеренно небезопасное.
Это помогает энтузиастам безопасности, разработчикам и студентам обнаруживать и предотвращать веб-уязвимости.

bWAPP готовит человека к проведению успешного тестирования на проникновение и этических хакерских проектов.
Что делает bWAPP таким уникальным? Что ж, у него более 100 веб-уязвимостей!
Он охватывает все основные известные веб-ошибки, включая все риски, связанные с проектом OWASP Top 10.
bWAPP - это PHP-приложение, использующее базу данных MySQL. Он может быть размещен в Linux / Windows с Apache / IIS и MySQL. Он также может быть установлен с помощью WAMP или XAMPP.
Другая возможность - загрузить bee-box, пользовательскую виртуальную машину Linux, предварительно установленную с помощью bWAPP.
Скачайте наше приложение What is bWAPP? вводный учебник, включающий бесплатные упражнения...
bWAPP предназначен только для тестирования безопасности веб-приложений и образовательных целей.
Получайте удовольствие от этого бесплатного проекта с открытым исходным кодом!

Твое здоровье, Малик Меселлем.»


Шутка дна (все верно написано)
Еще когда мамонты ходили по Земле, а люди учились добывать огонь, появился bWAPP.

И поскольку он — open source-проект и Вас не устраивает его качество, вы можете, конечно, сделать его лучше. Возможно, у вас не хватит всего своего матерного словарного запаса, чтобы озвучить качество данного продукта. Но, так получилось, что в данной нише ничего другого и нет, тренироваться неопытным юзерам больше негде.

Вернее есть разные интересные таски на THM, HTB и других подобных ресурсах, но это уже для тех, кто может отличить burp от консольной строки и умеет пользоваться Google.
Естественно, после этого потребуется переходить к нормальным ctf-таскам, иначе специалист из Вас получиться так себе. Оставаться мега-супер-ультра-квази-профи-bWapp я бы Вам не рекомендовал.

Итак, чего тянуть! Давайте начнем. Идем в любой браузер и пишем:
Качаете данный файл, но не путайте его с тем, что выше. Это другое.

1.jpg


02.jpg


После скачивания данный архив требуется разархивировать и настроить подключение через Vmware или VirtualBox. Там уже предварительно установлена и настроена операционная система.
Если в процесс у Вас возникнут сложности с установкой, подробно инструкция находится . Не буду расписывать, чтобы не делать статью неимоверного размера.

После запуска машины установим bWAPP. На рабочем столе есть ярлык «bWAPP — Update».
Переходим в открывшееся окно и жмем на «here»:

001-1.png


После требуется сменить раскладку клавиатуры на английскую, поскольку стоит Бельгийская:

003-1.png


Поменяйте на USA:

004-1.png


Также нередки косяки: при попытке печатать в консольке в ответ выдает непонятные символы. Это bWAPP не подтянул драйвер клавиатуры.
Для исправления этого требуется сделать следующее: System→ Preferences → Keyboard. Вот так:


3.jpg


Теперь кладка «Layouts» и «выбрать клавиатуру производителя». Точную модель можно не выбирать, будет работать и так.

4.jpg


На этом все, уважаемые коллеги, в следующей статье перейдем к разбору уязвимостей и их прохождению!

До скорой встречи!

Великий и ужасный Сергей Сталь
Редактор: Александра Калюжная
 
Последнее редактирование модератором:

P1N_C0DE

One Level
02.09.2022
6
3
BIT
0
Спасибо за ностальгию)Есть ли смысл начинать сразу с PortSwiggerа?
 

katok_

Green Team
19.06.2019
44
11
BIT
7
Спасибо за ностальгию)Есть ли смысл начинать сразу с PortSwiggerа?
Хороший ресурс, но только его будет мало для качественного обучения или же сложно. Пользуйтесь им и одновременно изучайте другие ресуры - будет много пользы.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!