bWAPP своими руками

iBragimoff · 21.07.2019

Привет. Сразу введу в курс дела, чтобы не было не понятных моментов. Где-то неделю назад на форуме спрашивал про то в каком русле изучать JavaScript для пентестера. Пользователь c0mb0 посоветовал изучать в направлении OWASP TOP 10 и подкинул ещё пару курсов. Скачал курс и понял что речь идёт о bWAPP. Ну и при просмотре курса пришла идея создать что-то по типу bWAPP только своё, где я смогу создать вначале меню авторизации с уязвимостью, а дальше понять в чём она заключается и исправить её. Прикинув масштабы своей цели, понял что нужны будут знания HTML,CSS(Для полного шика),JS,PHP. Знания HTML и CSS имеются, знания JS очень поверхностные, но при надобности легко подтяну до нужного уровня за недельки так 2, а вот с PHP незнаком вообще.

Скелет более-менее для будущего сайта имеется.

Теперь моя задача сделать так, чтобы при выборе уязвимости из выпадающего списка содержимое страницы изменялось.
Вот исходный код bWAPP:

Кто-нибудь подскажет, как они реализовали изменение страницы при выборе уязвимости из списка?

iBragimoff · 21.07.2019

Есть подозрения, что использовали JS, но каким образом они меняют всю страницу понять не могу, также файл JS, который изменял бы страницу тоже не нашел. Вижу, что при выборе элемента из списка в адресной строке меняется лишь файл name_file.php, а содержимое нужного находиться в <form></form> с action как раз таки на данный файл, решил открыть файл name_file.php, а там весь исходный код страницы сайта. WTF IS THIS?

larchik · 21.07.2019

iBragimoff сказал(а):
идея создать что-то по типу bWAPP только своё

Создавать что-то свое - это хорошая идея. Но, имхо, лучше было бы создать неуязвимое приложение )) Уязвимые сайты и так пишут все веб-разработчики.

iBragimoff сказал(а):
Знания HTML и CSS имеются, знания JS очень поверхностные, но при надобности легко подтяну до нужного уровня за недельки так 2

Еще не помешает изучить протокол HTTP.

iBragimoff сказал(а):
Скелет более-менее для будущего сайта имеется.

Это не скелет, а просто одна веб-страница.

iBragimoff сказал(а):
Кто-нибудь подскажет, как они реализовали изменение страницы при выборе уязвимости из списка?
Есть подозрения, что использовали JS

Очень просто. При выборе пункта из выпадающего списка и после нажатия кнопки Hack на сервер отправляется POST-запрос, а в ответ сервер присылает запрашиваемую страницу. Как-то так. JS тут не обязателен.

UPD:

iBragimoff сказал(а):
Вот исходный код bWAPP:

Это часть исходного кода одной веб-страницы bWAPP. Не забывайте, что значительная часть исходников выполняется на сервере и вам недоступна, в теории.

iBragimoff · 22.07.2019

larchik сказал(а):
Создавать что-то свое - это хорошая идея. Но, имхо, лучше было бы создать неуязвимое приложение )) Уязвимые сайты и так пишут все веб-разработчики.

Ну данный текст прям вырезан из контекста))) Я создаю сайт, чтоб научиться править уязвимости, потому что считаю такой метод обучения более правильным, нежели тупое использование уязвимости даже не зная, как оно работает изнутри)

larchik сказал(а):
Еще не помешает изучить протокол HTTP.

Обязательно изучу, спасибо за совет!

larchik сказал(а):
Это не скелет, а просто одна веб-страница.

Согласен, просто хотел поднять своё ЧСВ))))

larchik сказал(а):
Очень просто. При выборе пункта из выпадающего списка и после нажатия кнопки Hack на сервер отправляется POST-запрос, а в ответ сервер присылает запрашиваемую страницу. Как-то так. JS тут не обязателен.

Без знаний HTTP протокола мне сложно понять данную строчку.

larchik сказал(а):
Это часть исходного кода одной веб-страницы bWAPP. Не забывайте, что значительная часть исходников выполняется на сервере и вам недоступна, в теории.

Ну в теории да, а в моей ситуации сайт расположен на localhost)

centr · 26.07.2019

Вот этот курс вам очень поможет, в нем рассматриваются уязвимости, так же прилагаются примеры исходного кода, в общем в вашем случае то что нужно.

mrOkey · 26.07.2019

centr сказал(а):
Вот этот курс вам очень поможет, в нем рассматриваются уязвимости, так же прилагаются примеры исходного кода, в общем в вашем случае то что нужно.

Ты специально Линки на прем раздел кидаешь?)))

centr · 26.07.2019

mrOkey сказал(а):
Ты специально Линки на прем раздел кидаешь?)))

В других разделах этого курса нет!)

mrOkey · 26.07.2019

centr сказал(а):
В других разделах этого курса нет!)

на торрентах есть )

iBragimoff · 26.07.2019

mrOkey сказал(а):
на торрентах есть )

Название можно?)

mrOkey · 26.07.2019

iBragimoff сказал(а):
Название можно?)

Из Линка выше можно узнать название - оно там транслитом написано

iBragimoff · 26.07.2019

mrOkey сказал(а):
Из Линка выше можно узнать название - оно там транслитом написано

Я через телефон просто сейчас, спасибо.

centr · 26.07.2019

iBragimoff сказал(а):
Название можно?)

Безопасность и защита сайта от угроз и взлома

mrOkey сказал(а):
на торрентах есть )

имелось введу - в других разделах форума...

Все сервисы Codeby

Поиск

Поиск

bWAPP своими руками

iBragimoff

iBragimoff

larchik

iBragimoff

centr

mrOkey

Well-known member

centr

mrOkey

Well-known member

iBragimoff

mrOkey

Well-known member

iBragimoff

centr