创建测试环境
这个问题已经在网络上被一遍又一遍地问了一遍,但是很多答案要么是荒谬的,要么是相同的。我尝试使用OWASPs,它有一系列故意在web应用程序中构建的漏洞来教授和解释基础知识。
这是一个问题,这些测试是如此容易,即使你不知道如何使你可以做。我还使用了hack.me,它再次只是web应用程序(尽管有些具有挑战性),它都是关于MySQL注入和代码执行的。
所以我的问题是:
什么是合法测试服务器渗透技能和技术的最佳方法?但更具体的说..。有预算吗?假设我可以访问服务器,但很少访问网络硬件,那么我可以采取什么方法来建立一个不完全涉及XSS、SQL注入和PHP执行的实验室呢?
我希望我的问题不是太宽泛,有人可以帮助我和其他对渗透测试感兴趣的人找到一种安全的学习方法。(我在保护服务器和加密方面非常在行,但我想为另一支球队效力!)
回答 3
Security用户
发布于 2016-02-06 21:55:12
您必须运行自己的服务器,然后尝试攻击它们,然后保护它们免受攻击,然后再次攻击。
你应该使用VMs。
用于广泛应用程序的VM工作的一个来源是Turnkeylinux;另一个来源是比塔尼--它们不应该有故意的安全缺陷,但是如果您安装了几个月前创建的ISO,并且不让它自己修补,您可以检查各种软件中最近的缺陷。
Security用户
发布于 2016-02-07 01:20:48
有一个非常好的资源,但就像@防削弱密码说,它涉及到VM的。该网站是https://www.vulnhub.com,主要有CTF风格的挑战,初学者通过高级用户。还有很多资源你可以利用。
Security用户
发布于 2016-02-07 01:21:43
网上有许多可用的资源。不确定您的预算是多少,但是如果您对攻击服务器/基础设施感兴趣,也许您应该考虑参加OSCP课程或eLearningSecurity课程,如果您正在寻找预算中的内容,则应该尝试使用这些五酯实验室课程。所有这些课程都有在线实验室/服务器,您可以在那里学习不同的攻击矢量。
https://security.stackexchange.com/questions/112997
复制相似问题
腾讯云开发者
