• 網站資訊安全測試的模擬教學環境 WebGoat / mutillidae

    這篇文章主要介紹兩個工具,讓你可以快速地建立一個資訊安全測試的網站。

    這個工具所設立的網站,有許多的資訊安全弱點,並且網站內建有許多豐富的教學資源說明如何攻擊與需要注意的地方。

    對於想要學習網站的資訊安全測試,可以善用這兩個工具網路。

    或是對於 IT 要測試防火牆,模擬外部駭客攻擊到內部弱點網站,也可以用這樣的方式建立內部弱點網站。

    這個兩個工具分別為 Web Goat & Mutillidae

    WebGoat

    這是 OWASP 組織所提供的一個資訊安全測試的弱點網站。

    該網站背後技術由 Java 完成,下載完壓縮檔,執行 JAR 檔,即可執行,無須其他安裝或是設定步驟

    安裝 WebGoat

    首先到這個網站 http://webgoat.github.io/ or https://github.com/WebGoat/WebGoat-Legacy/releases

    下載 WebGoat JAR , https://github.com/WebGoat/WebGoat-Legacy/releases/download/v6.0.1/WebGoat-6.0.1-war-exec.jar

    下載後,確定電腦已安裝 Java Runtime,執行下列指令即可

     

      Java    -jar   WebGoat-6.0.1-war-exec.jar

    啟動之後,用瀏覽器輸入網址  http://localhost:8080/WebGoat

    登入帳號密碼如下

    Account User Password
    Webgoat User guest guest
    Webgoat Admin webgoat webgoat

    Mutillidae

    另外一個工具 Mutillidae 也是提供一個網站資訊安全測試的環境,同時也有許多的教學範例。

    這個工具主要是用 PHP 完成,因此安裝上需要事先先安裝 XAMPP

    1. 安裝 XAMPP

    https://www.apachefriends.org/download.html

    2. 下載 Mutillidae 壓縮檔

    http://sourceforge.net/projects/mutillidae/

    下載完之後,解壓縮到 XAMPP 的網站路徑下 \xampp\htdocs\mutillidae

    3. 開啟瀏覽器

    http://localhost/mutillidae/

    虛擬機器 VM

    最後介紹一個是提供整個 Virtual Image,這個 Image 啟動之後,內建許多的弱點網站可供測試。

    當然也包含 WebGoat 與 mutillidae

    下載該虛擬機器環境: http://sourceforge.net/projects/owaspbwa/files/

    小結

    這篇文章介紹兩種可以建立網站資訊安全測試的模擬環境。

    對於網站資訊安全不熟悉,或是需要一個模擬的網站環境可以測試並且學習,這兩個是很好的工具。

    一個是 WebGoat 主要由 Java 建構。

    一個是 mutillidae 由 PHP建構。

    最後一個是整個 Virtual machine 的 image

    不管是哪一種方式,這些教學範例與說明都很詳細。對於測試的觀點來說,資訊安全測試的方法都相同。

    當建立這樣的網站時候,不使用的時候,該網站必須保持關閉的狀態,因為設立這樣的網站,其實也讓該電腦系統間接曝露許多的弱點。

     

    Posted by Tony @ 11:54 am

  • Leave a Reply

    Your email address will not be published.