Mach1ne14 фев 2015 в 12:35

Обзор площадки для тестирования веб-уязвимостей OWASP Top-10 на примере bWAPP

6 мин

72K

Информационная безопасность * Веб-разработка *

+16

Комментарии 8

Audiophile 14 фев 2015 в 13:18

Что-то havij 1.17 видимо совсем устарел. Не ломает даже этот сайт. Надо другую программку для SQL инъекции искать.

За информацию спасибо — очень полезно, как раз пишу свой движок сейчас.

Mach1ne 14 фев 2015 в 13:29

Спасибо, для ваших нужд отличный вариант, действительно.

outofspace 14 фев 2015 в 20:04

Интересно, есть кто, кому удалось реализовать Beast/crime/breach?

Кстати, помогает, порой, в bwapp'е глянуть в сорцы, так как не всегда понятно, что автор имел в виду.

Также советую глянуть в сторону pentesterlab

Mach1ne 15 фев 2015 в 00:14

Автор bWAPP'a, он же руководитель 2дневных курсов по своему детищу, за фоллоу в твиттере отсылает на почту некие (сам не видел) cheatsheet'ы, в которых есть подсказки. Подробнее смотрите в его блоге.

Пентестер лаб также отличен. Особенно вкладка буткемпа, на которой недавно красовались «40 недель учебу», сейчас страницу переделали под меньшее кол-во пунктов, но она еще информативна.

BeLove 15 фев 2015 в 18:29

Жаль в xss не добавлено задание что-нибудь сделать — угнать куки / выполнить что-нибудь под авторизованным юзером (т.е. прямо написать пейлоад). А имитировать юзера как на CTF — различными рендерилками по крону (cutycapt как пример).
А вообще такие штуки очень полезны, жаль нет подобных платформ под другие языки (ruby/java/python). А то что php — все кто уже можно на нем примеры показали :)

Mach1ne 17 фев 2015 в 18:05

От автора bWAPP. Приятно :)

LukaSafonov 28 фев 2016 в 21:37

Методология OWASP на русском.

Mach1ne 11 мая 2016 в 11:25

крутяк, когда делал, таких переводов еще не было. Добавил в закладки, а вдруг пригодится, спасибо.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий