我需要使用VmWare Workstation为WEB应用程序构建一个Penetration Testing LAB。我需要知道应该怎么做或者我该怎么做。我还需要做以下标准: 1.提出Peneteraion测试实验室的一般架构 2.设置Penteraion测试实验室所需的软件类型 3.详细介绍了Penteraion测试的不同组件 4.构建Penteraion测试实验室的所有配置和步骤
答案 0 :(得分:0)
有很多方法可以设置渗透实验室。 我开始时所做的是
您可以设置不同类型的计算机,因此如果您想攻击Web服务器而不是计算机,则可以执行此操作。您可以自己玩的机器的所有配置
这是一个广泛的问题,所以我只能提供个人经验
答案 1 :(得分:0)
对于学习Web应用程序渗透测试,您可以使用可在https://msdn.microsoft.com/en-us/library/windows/desktop/dd873626%28v=vs.85%29.aspx
中找到的易受攻击的虚拟机我强烈建议您查看上面提到的网站,在那里您可以下载易受攻击的虚拟机和ISO图像,您可以在其中玩游戏。如果您计划建立完整的渗透测试实验室,涵盖易受攻击的应用和系统vulnhub website。
答案 2 :(得分:0)
我们称它为Web应用程序 CTF 。
在开始考虑应该在哪个服务器上运行CTF之前,您需要执行以下步骤:
1。选择您的CTF级别。 请注意,最容易建立的CTF是困难的。
2。创建漏洞数据库-不要让CTF级别影响您的数据库。
3。建立机器故事。这是您的CTF级别和 漏洞数据库彼此相遇。
您确实可以采用普通且容易的漏洞(例如XSS)并使其完全很难找到,但是您也可以采用更高级的漏洞(例如XXE)并使其简单。因此,机器故事是最重要的部分。 在机器的故事部分,您还可以确定是否要在机器上开兔子洞。
4。选择应用程序服务器
考虑到漏洞数据库,最好在哪台服务器上实施这些漏洞。
5。选择操作系统
在哪个操作系统上管理应用服务器和数据库最简单?
6。构建前端
您可以选择一个网站模板,也可以自行构建一个网站模板。
7。构建后端
在这一部分中,您需要注意用于构建它的工具。 尽量不要使用更可能安全的最新工具,请记住您希望您的计算机可以被黑客入侵。
8。实施漏洞
拥有一个功能齐全的网站之后,现在是时候在数据库中实现所有漏洞了。
9。创建文章
重要的是,无论如何都最好拥有一个。
10。在您提供帮助时,请其他人解决您的CTF
您在这里的任务很简单。了解事情:
A。 机器故事是否按计划工作?(这意味着他们不能跳过漏洞来解决机器问题)
B。 CTF中是否存在任何错误?
请记住,如果有人找到了一种不同的方法来破解您的CTF,这不是bug,而是功能。
希望本指南对您有帮助,祝您好运。