網頁資安一直是很熱門的一個資安議題,連後端工程師都要懂一定程度的網頁資安,一定要了解網頁的各種攻擊手法,才可以做出相對應的防衛。初學資安最好的學習方式就是親手實作,但是入門初學的話,常常會找不到一個好的訓練環境,這邊介紹給你一個全套打包、安裝容易、環境封閉的owasp broken web application讓初學網頁資安的你一次滿足。
至https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project看一下說明之後,在網站右邊有Download字樣
到下載頁面,選擇最新版本,然後看你要載7z或rar皆可,下載完解壓
創建一台虛擬機,不過不一樣的是,這次選擇使用現有的虛擬硬碟
非常方便,選擇好硬碟之後就可以直接開機了
開機之後,稍等自動安裝程序進行,如果沒有意外的話就會看到歡迎頁面
注意剛剛的頁面有一些重要的資訊
access web app at | http://10.0.2.15 |
username | root |
passwd | owaspbwa |
用連接阜轉送讓你的電腦可以存取到10.0.2.15:80
主機連接阜就挑一個你用不到的port吧
進入webGoat,然後輸入liunx歡迎頁面上的帳密
找一個自己要玩的攻擊手法然後完成題目
每一到題目都是情境題,有時候真的是從情境中找線索去做攻擊,不要因為是英文就忽略啊~
完成了就會有一個勾勾
當你完成了那項攻擊手法裡面的每題題目
就再找下一個你有興趣的吧~
如果整個webGoat都玩玩了
你的BWA除了webGoat還有其他很多很多的training application呦