Уязвимое рабочее окружение для тестирования Damn Vulnerable Web Services
Life-Hack [Жизнь-Взлом]/ХакингDamn Vulnerable Web Services (чертовски уязвимые веб-службы) – это уязвимое рабочее окружение для тестирование, которое может использоваться для изучения реальных уязвимостей веб-служб. Цель этого проекта – помочь профессионалам по безопасности в тестировании их навыков и инструментов без нарушения законов.
Это приложение предназначено для эксплуатации следующих уязвимостей:
- WSDL перечисление
- XML External Entity (XXE) инъекция
- XML бомба отказ в обслуживании
- XPATH инъекция
- WSDL сканирование
- Cross Site-Tracing (XST)
- Внедрение команд ОС
- Межсайтовая подделка запроса (XSRF)
- REST API SQL-инъекция
Домашняя страница: https://github.com/snoopythesecuritydog/dvws
Автор: Snoopy, the Security Dog
Лицензия: GPLv3
Установка Damn Vulnerable Web Services
Установка в Kali Linux
Скачиваем необходимые файлы и запускаем службы веб-сервера и СУБД:
sudo git -C /var/www/html/ clone https://github.com/snoopythesecuritydog/dvws.git sudo service apache2 start sudo service mysql start
Теперь уязвимые веб-службы доступны по адресу http://localhost/dvws/
Для установки перейдите по адресу http://localhost/dvws/about/instructions.php
И нажмите кнопку Reset Database.
Программа обращается к СУБД с пользователем root с пустым паролем. Если у вас произошла ошибка связи с базой данных, значит вам нужно отредактировать два файла
- about/instructions.php
Найдите в нём строки
$connect = new mysqli('localhost', 'root', '');
$connect = new mysqli('localhost', 'root', '','dvws');
и вместо пользователя и пароля укажите верные для вашей системы данные.
- vulnerabilities/sqli/api.php
Найдите строку
$link = mysql_connect('localhost', 'root', '', 'dvws');
и отредактируйте учётные данные на верные.
У вас должны быть заранее настроены и установлены веб-сервер Apache и СУБД MySQL/MariaDB.
Скачайте необходимые файлы:
sudo git -C /srv/http/ clone https://github.com/snoopythesecuritydog/dvws.git
Программа обращается к СУБД с пользователем root с пустым паролем. Если у вас произошла ошибка связи с базой данных, значит вам нужно отредактировать два файла
- about/instructions.php
Найдите в нём строки
$connect = new mysqli('localhost', 'root', '');
$connect = new mysqli('localhost', 'root', '','dvws');
И вместо пользователя и пароля укажите верные для вашей системы данные.
- vulnerabilities/sqli/api.php
Найдите строку
$link = mysql_connect('localhost', 'root', '', 'dvws');
и отредактируйте учётные данные на верные.
Установка в Web Security Dojo
Чтобы установить Damn Vulnerable Web Services в Web Security Dojo последовательно выполните следующие команды:
export PATH=$PATH:"/usr/local/bin:/usr/local/git/bin" git clone https://github.com/snoopythesecuritydog/dvws.git sudo mv ./dvws /var/www/ sudo chown -R www-data:www-data /var/www/dvws/ sudo sed -i "s/'root', ''/'root', 'dojo'/" /var/www/dvws/about/instructions.php sudo sed -i "s/'root', ''/'root', 'dojo'/" /var/www/dvws/vulnerabilities/sqli/api.php
Теперь уязвимые веб-службы доступны по адресу http://localhost/dvws/
Для установки перейдите по адресу http://localhost/dvws/about/instructions.php
И нажмите кнопку Reset Database.
Установка в Samurai Web Testing Framework
Чтобы установить Damn Vulnerable Web Services в Samurai Web Testing Framework последовательно выполните следующие команды:
sudo git -C /var/www/html/ clone https://github.com/snoopythesecuritydog/dvws.git sudo chown -R www-data:www-data /var/www/html/ sudo sed -i "s/'root', ''/'root', 'samurai'/" /var/www/html/dvws/about/instructions.php sudo sed -i "s/'root', ''/'root', 'samurai'/" /var/www/html/dvws/vulnerabilities/sqli/api.php
Теперь уязвимые веб-службы доступны по адресу http://localhost/dvws/
Для установки перейдите по адресу http://localhost/dvws/about/instructions.php
И нажмите кнопку Reset Database.
Скриншоты Damn Vulnerable Web Services
