На сайте встречается огромное количество прекрасных статей от опытных специалистов из разных сфер информационной безопасности.
Но что делать совсем зеленым и неопытным, которые только хотят попробовать себя в инфобезе? Вокруг очень много разных данных, и все по-разному предлагают подходить к процессу обучения.
Я хочу предложить вам свою версию получения навыков и опыта при помощи такого древнего зла как Bwapp. Скорее всего, после услышанного названия в меня полетят различные продукты жизнедеятельности, и крики: «Ну ты бы еще чего похуже предложил!». Пардоньте, ничего хуже я пока не нашел. Я считаю, что учиться нужно на том, что неплохо задокументировано и на тему чего написано много статей по прохождению задачек различной сложности.
Цитирую перевод автора данного творения:
«bWAPP, или глючное веб-приложение, - это бесплатное веб-приложение с открытым исходным кодом, намеренно небезопасное.
Это помогает энтузиастам безопасности, разработчикам и студентам обнаруживать и предотвращать веб-уязвимости.
bWAPP готовит человека к проведению успешного тестирования на проникновение и этических хакерских проектов.
Что делает bWAPP таким уникальным? Что ж, у него более 100 веб-уязвимостей!
Он охватывает все основные известные веб-ошибки, включая все риски, связанные с проектом OWASP Top 10.
bWAPP - это PHP-приложение, использующее базу данных MySQL. Он может быть размещен в Linux / Windows с Apache / IIS и MySQL. Он также может быть установлен с помощью WAMP или XAMPP.
Другая возможность - загрузить bee-box, пользовательскую виртуальную машину Linux, предварительно установленную с помощью bWAPP.
Скачайте наше приложение What is bWAPP? вводный учебник, включающий бесплатные упражнения...
bWAPP предназначен только для тестирования безопасности веб-приложений и образовательных целей.
Получайте удовольствие от этого бесплатного проекта с открытым исходным кодом!
Твое здоровье, Малик Меселлем.»
Шутка дна (все верно написано)
Еще когда мамонты ходили по Земле, а люди учились добывать огонь, появился bWAPP.
И поскольку он — open source-проект и Вас не устраивает его качество, вы можете, конечно, сделать его лучше. Возможно, у вас не хватит всего своего матерного словарного запаса, чтобы озвучить качество данного продукта. Но, так получилось, что в данной нише ничего другого и нет, тренироваться неопытным юзерам больше негде.
Вернее есть разные интересные таски на THM, HTB и других подобных ресурсах, но это уже для тех, кто может отличить burp от консольной строки и умеет пользоваться Google.
Естественно, после этого потребуется переходить к нормальным ctf-таскам, иначе специалист из Вас получиться так себе. Оставаться мега-супер-ультра-квази-профи-bWapp я бы Вам не рекомендовал.
Итак, чего тянуть! Давайте начнем. Идем в любой браузер и пишем:
Ссылка скрыта от гостей
Качаете данный файл, но не путайте его с тем, что выше. Это другое.
После скачивания данный архив требуется разархивировать и настроить подключение через Vmware или VirtualBox. Там уже предварительно установлена и настроена операционная система.
Если в процесс у Вас возникнут сложности с установкой, подробно инструкция находится
Ссылка скрыта от гостей
. Не буду расписывать, чтобы не делать статью неимоверного размера.После запуска машины установим bWAPP. На рабочем столе есть ярлык «bWAPP — Update».
Переходим в открывшееся окно и жмем на «here»:
После требуется сменить раскладку клавиатуры на английскую, поскольку стоит Бельгийская:
Поменяйте на USA:
Также нередки косяки: при попытке печатать в консольке в ответ выдает непонятные символы. Это bWAPP не подтянул драйвер клавиатуры.
Для исправления этого требуется сделать следующее: System→ Preferences → Keyboard. Вот так:
Теперь кладка «Layouts» и «выбрать клавиатуру производителя». Точную модель можно не выбирать, будет работать и так.
На этом все, уважаемые коллеги, в следующей статье перейдем к разбору уязвимостей и их прохождению!
До скорой встречи!
Великий и ужасный Сергей Сталь
Редактор: Александра Калюжная
Последнее редактирование модератором:
