Artikel mit Tag webgoat

Hacker Ausbildung gefällig? - Der Web Security Dojo machts möglich

Beim Web Security Dojo handelt es sich um eine fertig eingerichtete virtuelle Maschine, welche sich an werdende Penetrationstester oder Web Security Experten richtet. 
Das virtuelle System bietet sich aber genauso als allgemeine Trainingsgrundlage für Anwendungssicherheit an.

web-security-dojo

Web Security Dojo 2.1 - hacken lernen

Gerade ist eine aktualisierte Version 2.1 des Dojos vom Maven Security Consulting erschienen, welche auf Xubuntu 12.04 LTS basiert. 

Dank der fertig installierten Umgebung kann der interessierte Anwender sofort loslegen.
Bekannte Übungen und Tools wie OWASPs WebGoat sind fertig installiert und müssen nur über den Browser aufgerufen werden. (lediglich der gewünschte Proxy muss selbst gewählt werden.)

Die erst vor wenigen Tagen erschienene Toolsammlung hat zwar Updates erhalten, alle Tools sind dennoch nicht auf dem aktuellen Stand ( Ich glaube WebGoat wurde schon in v6 veröffentlicht, im Dojo ist allerdings 5.3 installiert. Dem Lernerfolg tut dies allerdings keinen Abbruch, da die Änderungen meist nicht gravierend sind.

Dojo-Webgoat

Folgende bekannte Trainings und Anwendungs Tools sind im Dojo vorkonfiguriert enthalten

  • Damn Vulnerable Web Application (DVWA) (login: admin:password)
  • Mutillidae/NOWASP
  • WebGoat (login: guest:guest)
  • Insecure Web App
  • w3af test framework
  • WAVSEP Scanner Testbench
  • XSS Practice Cases (WAVSEP XSS w/ hints hidden)
  • REST demos
  • JSON demo
  • DOM XSS demo
  • Simple Maven PHP demos
  • sqli-labs

Weitere hilfreiche Tools für den Umgang mit Sicherheitslücken sind ebenfalls mit an Bord

  • Burp Suite (free version)
  • w3af
  • sqlmap
  • arachni 
  • metasploit
  • Zed Attack Proxy 
  • OWASP Skavenger
  • OWASP Dirbuster
  • Paros
  • Webscarab
  • Ratproxy
  • skipfish
  • websecurify
  • davtest

Alle Anwendung sind im Startmenü hinterlegt und müssen nur aufgerufen werden. Webanwendungen sind im vorinstallierten Firefox als Bookmarks hinterlegt.
Einen guten Start ins Web Hacking bietet sicherlich das bereits erwähnte WebGoat oder DVWA. Gerade ersteres bietet eine Schritt für Schritt Anleitung mit Lösungshilfen wenn gewünscht.

Installation

Es genügt das OVA Image herunterzuladen und in VirtualBox zu importieren.

dojo-netzwerk

Das es sich bei der Testumgebung um sehr unsichere Übungsanwendungen handelt, empfiehlt es sich, die Netzwerkverbindungen der virtuellen Maschine zu kappen.

Nun aber viel Spaß beim Hacken ;)

Dojo Download

 

Das könnte dich auch interessieren