在日常工作和学习安全知识的过程中,往往需要一个实践环境; 在测试安全设备时,有时还需要第三方安全测试环境。 这里我们介绍一个称为()或“范围”的漏洞测试环境。
是一个易受攻击的 Web 应用程序,旨在帮助测试 Web 应用程序漏洞扫描程序的功能、质量和准确性。 使用一组独特的易受攻击的网页来测试 Web 应用程序扫描程序的各种功能。
目前支持的漏洞包括:
XSS:66 个测试用例,在 64 个 jsp 页面中(GET 和基于 SQL :80 个测试用例,在 76 个 jsp 页面中(GET 和 POST)盲 SQL:46 个测试用例,在 44 个 jsp 页面中(GET 和 POST)基于时间的 SQL:10测试用例,在 10 个 jsp 页面中(GET 和 POST)
下载基本环境信息
安装mysql,
apt-get install tomcat6
apt-get install tomcat6-admin
apt-get install mysql-server-5.5
如果没有安装java,请安装jdk
apt-get installopenjdk-7-jdk
配置mysql密码
由于和mysql在同一台机器,所以默认配置root@密码就可以了。
配置管理员帐户
只需编辑-user.xml文件即可,默认路径为/etc//-users.xml
添加以下内容:
登录管理后台并上传WAR包
启动
创建数据库目录
mkdir /var/lib/tomcat6/dbchown -R tomcat6:tomcat6 /var/lib/tomcat6/db/
初始化
访问初始化页面你的IP//-/.jsp
只需输入您本地的数据库信息,如果安装成功会显示以下信息:
射击场已安装
默认地址是你的IP //
以演示的SQL注入漏洞为例:
测试结果如下: