基于WAVSEP的靶场搭建指南
日常工作学习安全知识的过程中,时常需要有个练习环境;测试安全设备时,有时候也需要有个第三方的安全检测环境,这里我们就介绍一款叫做WAVSEP(WebApplication Vulnerability Scanner Evaluation Project )的漏洞检测环境或者称"靶场"。
WAVSEP 是一个包含漏洞的web应用程序,目的是帮助测试web应用漏洞扫描器的功能、质量和准确性。WAVSEP 收集了很多独特的包含漏洞的web页面,用于测试web应用程序扫描器的多种特特性。
目前WAVSEP支持的漏洞包括:
Reflected XSS: 66 test cases, implemented in 64 jsp pages (GET & POST Error Based SQL Injection: 80 test cases, implemented in 76 jsp pages (GET & POST ) Blind SQL Injection: 46 test cases, implemented in 44 jsp pages (GET & POST ) Time Based SQL Injection: 10 test cases, implemented in 10 jsp pages (GET & POST )
下载WAVSEP<点击原文查看链接>
基础环境信息
安装mysql、tomcat
apt-get install tomcat6
apt-get install tomcat6-admin
apt-get install mysql-server-5.5
如果没有安装java,安装jdk
apt-get installopenjdk-7-jdk
配置mysql密码
由于tomcat和mysql在同机,默认配置root@localhost 的密码就ok了
配置tomcat管理员账户
编辑tomcat-user.xml文件即可,默认路径为/etc/tomcat6/tomcat-users.xml
增加如下内容:
<role rolename="manager-gui"/>
<user username="tomcat" password="密码" roles="manager-gui"/>
登录tomcat管理后台并上传WAR包
启动WAVSEP
创建DB目录
mkdir /var/lib/tomcat6/dbchown -R tomcat6:tomcat6 /var/lib/tomcat6/db/
初始化WAVSEP
访问初始化页面http://你的IP/wavsep/wavsep-install/install.jsp
输入你的本地数据库信息即可,安装成功会显示以下信息:
靶场安装完毕
默认地址为http://你的IP/wavsep/
HelloWorld
以WAVSEP演示的SQL注入漏洞为例:<点击原文查看链接>
使用sqlmap测试效果如下:
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 【tensorflow2.0】回调函数callbacks
- 用C++跟你聊聊“观察者模型”
- 【tensorflow2.0】构建模型的三种方法
- django实战(一)--dango自带的分页(极简)
- 线程池 -- 动态链接库
- 【tensorflow2.0】训练模型的三种方法
- 用C++跟你聊聊“建造者模式”
- 【tensorflow2.0】使用TPU训练模型
- 用C++跟你聊聊“外观模式”
- 【tensorflow2.0】使用tensorflow-serving部署模型
- 用C++跟你聊聊“模板方法模式”
- 用C++跟你聊聊“原型模式” (复制/拷贝构造函数)
- 【numpy】生成图片格式的数据
- 【numpy】新版本中numpy(numpy>1.17.0)中的random模块
- 用C++跟你聊聊“代理模式”