bWAPP-用于练习黑客的极其恶劣的Web应用程序

bWAPP是一个检测错误的Web应用程序,旨在帮助安全爱好者,开发人员和学生发现和防止Web漏洞。这个安全学习平台可以帮助您为成功的渗透测试和道德黑客项目做好准备。

它有超过100个网络漏洞数据,包括所有主要的已知网络漏洞。

特征:

•非常容易使用和理解

•结构良好,文档化的PHP代码

•不同的安全级别(低/中/高)

•“新用户”创建(用户/密码)

•'重置应用程序/数据库'功能

•手动干预页面

•电子邮件功能

•本地PHP设置文件

•无身份验证模式(AIM)

•'Evil Bee'模式,绕过安全检查

•'恶意'目录,包括攻击脚本

•WSDL文件(Web服务/ SOAP)

•可模糊化设计

漏洞:

•SQL,HTML,iFrame,SSI,OS命令,XML,XPath,LDAP,PHP代码,主机标头和SMTP注入

•身份验证,授权和会话管理问题

•恶意,不受限制的文件上传和后门文件

•任意文件访问和目录遍历

•Heartbleed和Shellshock漏洞

•本地和远程文件包含(LFI / RFI)

•服务器端请求伪造(SSRF)

•配置问题:Man-in-the-Middle,跨域策略文件,

•HTTP参数污染和HTTP响应分裂

•XML外部实体攻击(XXE)

•HTML5 ClickJacking,跨源资源共享(CORS)和Web存储问题

•Drupal,phpMyAdmin和SQLite问题

•未经验证的重定向和转发

•拒绝服务(DoS)攻击

•跨站点脚本(XSS),跨站点跟踪(XST)和跨站点请求伪造(CSRF)

•AJAX和Web服务问题(JSON / XML / SOAP)

•参数篡改和cookie中毒

•缓冲区溢出和本地权限升级

•PHP-CGI远程代码执行

•HTTP动词篡改

•更多...

它可以在带有Apache / IIS和MySQL的Windows / Linux上托管(或者只使用WAMP或XAMPP)。

或者,您可以使用预装了bWAPP的自定义Linux虚拟机bee-box。

本文仅作技术分享 切勿用于非法途径

如果您对文中的软件或者技术感兴趣

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181110A1LJOR00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券