🧖🏿 🏙️ 👨🏼‍🚒 परिभाषा से कमजोर 🏇🏼 👍🏾 👷

कई लोग जो किसी तरह सुरक्षा से जुड़े होते हैं वे समय-समय पर एक पेन्टेस्ट, यानी एक प्रवेश परीक्षा करना चाहते हैं। और सबसे अधिक बार वे वेब एप्लिकेशन के सबसे अच्छे से शुरू करते हैं। प्रवेश सीमा काफी छोटी है (पैरामीटर में उद्धरणों को जोड़कर सरलतम sqli निर्धारित किया जाता है और इसे संचालित करना विशेष रूप से कठिन नहीं है), लेकिन साथ ही साथ इसमें काफी जटिल कार्य हैं जिन्हें चुनने में कुछ दिन लगते हैं।
लेकिन सवाल उठता है - जहां मास्क शो की अचानक उपस्थिति के डर के बिना, सैद्धांतिक ज्ञान को लागू करने के लिए कहां? कटौती के तहत, मैं पेंटेस्ट टेस्ट साइटों की एक छोटी समीक्षा करूंगा।

बहुभुज को निम्नलिखित श्रेणियों और उपश्रेणियों में विभाजित किया जा सकता है:

संवेदनशील वेब अनुप्रयोगों सहित कमजोर सेवाओं के एक सेट के साथ ऑपरेटिंग सिस्टम की पूर्ण-विकसित छवियां
कमजोर वेब अनुप्रयोग वितरण (ऑफ़लाइन)
वास्तविक वेब अनुप्रयोग (ऑनलाइन) वास्तविक लोगों के करीब
CTF प्रारूप में कमजोर वेब अनुप्रयोग (ऑनलाइन)

कमजोर वेब अनुप्रयोग वितरण (ऑफ़लाइन)

कमजोर वितरण, कार्रवाई की सबसे बड़ी स्वतंत्रता प्रदान करते हैं, क्योंकि कमजोरियों के लिए एक बार फिर सैंडबॉक्स बनाने की आवश्यकता नहीं है, जैसा कि ऑनलाइन अनुप्रयोगों के मामले में है।

Mutillidae

Mutillidae प्रोजेक्ट OWASP टॉप 10. में वर्णित कमजोरियों को लागू करता है। OWASP टॉप 10 उन 10 कमजोरियों की सालाना अपडेट की गई सूची है, जिन्हें डेवलपर्स और सुरक्षा विशेषज्ञों दोनों को संबोधित किया जाना चाहिए।

शीर्ष 10 से प्रत्येक कमजोरियों के लिए, कई कार्य उपलब्ध हैं:

आवेदन के सुरक्षा स्तर को स्विच करना संभव है, संकेत शामिल करें:

सभी स्क्रिप्ट पूरे विशेषाधिकारों के साथ चलाई जाती हैं, चेहरे पर एक साधारण कमांड इंजेक्शन का परिणाम:

वर्जन 2.0.7 वर्तमान में उपलब्ध है ।

OWASP Webgoat

इस बार परियोजना OWASP से है, और एक वेब सर्वर (TomCat) स्क्रिप्ट के साथ आता है, आप इसे केवल एक बैट-फाइल के साथ एक कामकाजी कंप्यूटर पर शुरू कर सकते हैं।

Mutillidae से महत्वपूर्ण अंतर यह है कि आपको कुछ करने की ज़रूरत नहीं है, लेकिन एक बहुत ही विशिष्ट परिणाम प्राप्त करें। जब परिणाम प्राप्त होता है, तो इसे सभी कार्यों की सूची में चिह्नित किया जाएगा:

हैकिंग के बजाय कुछ कार्यों को पूरा करने के लिए, आपको इसके बजाय कोड में सुरक्षा को लागू करने की आवश्यकता है।

परियोजना के बारे में जानकारी यहाँ उपलब्ध है।

यदि मार्ग के दौरान कठिनाइयाँ आती हैं, तो प्रत्येक कार्य के लिए मार्ग के साथ एक वीडियो है:

yehg.net/lab/pr0js/training/webgoat.php

लिंक स्वयं कार्य द्वारा पृष्ठ पर पाया जा सकता है।

लानत कमजोर वेब ऐप (DVWA)

परियोजना उत्परिवर्ती के समान है, अर्थात्, पूरा होने के लिए कोई स्पष्ट रूप से परिभाषित कार्य नहीं है, लेकिन मानक कमजोरियों वाली स्क्रिप्ट का एक सेट:

क्रूर बल
कमान का निष्पादन
CSRF
फ़ाइल समावेशन
एसक्यूएल इंजेक्शन
एसक्यूएल इंजेक्शन (ब्लाइंड)
अपलोड
XSS परिलक्षित
XSS संग्रहीत

परिणाम को यथासंभव वास्तविकता के करीब के रूप में दिखाया गया है:

वर्जन 1.0.7 वर्तमान में उपलब्ध है।

वास्तविक वेब अनुप्रयोग (ऑनलाइन) वास्तविक लोगों के करीब

Acunetix परीक्षण साइटों

कमजोर साइटों का एक समूह जहां एक्यूनेटिक्स अपने परीक्षण दिखाता है:

testasp.vulnweb.com
testaspnet.vulnweb.com
testphp.vulnweb.com

लेकिन आप कमजोरियों को मैन्युअल रूप से खोद सकते हैं।

XSS

XSS का संचालन करने की क्षमता के साथ कई साइटों का एक सेट। इसके अलावा, सफल संचालन के लिए, निस्पंदन सिस्टम को बायपास करना अभी भी आवश्यक है, जो हमेशा तुच्छ नहीं होता है।

canyouxssthis.com/HTMLSanitizer
html5sec.org/xssme.php
xssme.html5sec.org

CTF प्रारूप में कमजोर वेब अनुप्रयोग (ऑनलाइन)

सबसे स्वादिष्ट (मेरी राय में) हिस्सा। कार्य नेटवर्क पर आयोजित किए जाते हैं, इसलिए आपको अतिरिक्त सॉफ़्टवेयर स्थापित करने की आवश्यकता नहीं है। और एक स्पष्ट लक्ष्य है जिसे हासिल करना है (झंडा प्राप्त करना)।

इस साइट को हैक करें

तथाकथित मिशनों का एक सेट जो कठिनाई स्तरों से विभाजित है। बुनियादी मिशन हैं, जैसे किसी स्क्रिप्ट में एक निर्देशिका में एक निश्चित फ़ाइल की सामग्री प्राप्त करना और उसकी सामग्री प्रदर्शित करना:

ऐसे मिशन भी हैं जो वास्तविक जीवन के करीब हैं, उदाहरण के लिए, साइट के पंजीकृत उपयोगकर्ताओं के सभी ई-मेल पतों की एक सूची का पता लगाने के लिए (साइट, खुद प्रशिक्षण द्वारा, हैकथिसाइट के साथ)

प्रत्येक मिशन के लिए एक मंच है जहां आप सुझावों या पूरे मार्ग को पढ़ सकते हैं।

यहां पंजीकरण और पूरा मिशन

पहेली

एक समान परियोजना, विभिन्न बुनियादी मिशन हैं, जहां पासवर्ड (ध्वज) निहित है, उदाहरण के लिए, स्रोत कोड में:

या जहां आपको सबसे सरल एसक्यूएल इंजेक्शन लगाने की आवश्यकता है:

और इसी तरह, वास्तविक साइटों के करीब मिशन हैं जहां आपको ध्वज खोजने के लिए विभिन्न तरीकों का उपयोग करने की आवश्यकता है:

समय सीमित सी.टी.एफ.

और अंत में, प्रतियोगिताओं को समय-समय पर CTF प्रारूप, विभिन्न विषयों के कार्यों, वेब से उलट और फॉरेंसिक में आयोजित किया जाता है। आगामी कार्यक्रमों का कैलेंडर यहां पाया जा सकता है:

capture.thefl.ag/calendar

उसी साइट पर, पिछले असाइनमेंट उपलब्ध हैं।

पासिंग टास्क (राइटअप) के साथ पिछले सीटीएफ के विवरण आमतौर पर विजेता टीमों (लेट मोर, आइंडबीजेन, पीपीपी) द्वारा पोस्ट किए जाते हैं, या विशेष मंचों पर पढ़े जा सकते हैं, उदाहरण के लिए, रिटेन:

rdot.org/forum/forumdisplay.php?f=64

एक निष्कर्ष के बजाय

ऊपर वर्णित बहुभुजों के अलावा, अभी भी बहुत सी दिलचस्प चीजें हैं, लेकिन हर चीज का परीक्षण करने के लिए पर्याप्त समय नहीं है, इसलिए मैं अंग्रेजी भाषा के ब्लॉगों को लिंक प्रदान करूंगा:

www.irongeek.com/i.php?page=security/deliberately-insecure-web-applications-for-learning-web-app-security

blog.taddong.com/2011/10/hacking-vulnerable-web-applications.html

community.rapid7.com/community/infosec/blog/2011/12/23/where-can-i-find-vulnerable-machines-for-my-penetration-testing-lab

g0tmi1k.blogspot.com/2011/03/vulnerable-by-design.html

UPD : उपयोगकर्ता व्लादिमीरकोचेतकोव के कुछ और लिंक:
www.felipemartins.info/2011/05/pentesting-vulnerable-study-frameworks-complete-list
code.google.com/p/pentest-bookmarks/wiki/BookmarksList

UPD : SecurityLab वेबसाइट पर आप हैकक्वेस्ट 2010 के चरणों के पारित होने का विवरण देख सकते हैं - सूचना की सुरक्षा के लिए खुली प्रतियोगिताएं। PHDays CTF 2011 क्वालीफाइंग दौर की सामग्री आगामी पॉजिटिव हैक डेज़ फोरम के लिए (टास्क विकल्प के साथ) यहाँ उपलब्ध हैं ।

परिभाषा से कमजोर