it-swarm-tr.com

Sızma testi sunucuları

Üniversite derslerimin bir parçası olarak Metasploit kullanmayı öğreniyorum. Bildiğiniz gibi NOWASP (Mutillidae) veya Damn Savunmasız Linux gibi, en pentest veya benzeri şeyler üzerinde egzersiz yapmanızı sağlayan yazılım yapıları vardır. İş yükünün çalışması için hedef kurbanın bilgisayarını sunucu olarak çalıştırması gerektiğini duydum. Aynı makineye bir sunucu kurmaya çalıştım (Virtualbox üzerinden) ve hedef olarak yaptım ama başarısız oldu. Peki, pratik yapmama izin verecek bir sunucu veya benzeri bir şey olup olmadığını biliyor musunuz (yasal olarak test sistemlerine karşı)?

45
py_script

http://www.irongeek.com/i.php?page=security/wargames

WebGoat . WebGoat kasıtlı olarak güvensiz bir dizi Java sunucu sayfaları

http://www.hackthissite.org/

http://www.smashthestack.org/wargames

sSS'lerinden:

Yığın Smash Wargaming Ağı çeşitli Wargames barındırıyor. Bağlamımızdaki bir Wargame, gerçek dünyadaki yazılım güvenlik açığı teorilerinin veya kavramlarının simülasyonunu destekleyen ve sömürü tekniklerinin yasal olarak uygulanmasına izin veren etik bir saldırı ortamı olarak tanımlanabilir. Yazılım bir İşletim Sistemi, ağ protokolü veya herhangi bir kullanıcı alanı uygulaması olabilir.

http://www.astalavista.com/page/wargames.html

http://www.governmentsecurity.org/forum/index.php?showtopic=15442

http://www.overthewire.org/wargames/

liste uzundur ... bazıları hazır, bazıları değil ...

Güncelleme 26 Şub 2011, http://r00tsec.blogspot.com/2011/02/pentest-lab adresinden güzel bir yazı buldum -vulnerable-servers.html . Bazı bağlantılar kesilmiş olabilir. Oradan kopyalarım:

Holynix Buz çözme Cd'lerine ve pWnOS'a benzer şekilde, holynix, penetrasyon testi amacıyla güvenlik deliklerine sahip olmak için kasıtlı olarak oluşturulmuş bir ubuntu sunucusu vmware görüntüsüdür. Gerçek bir dünya örneğinden daha fazla bir engel kursu. http://pynstrom.net/index.php?page=holynix.php

WackoPicko WackoPicko, bilinen güvenlik açıklarını içeren bir web sitesidir. İlk olarak Johnny neden Pentest olamaz: Kara Kutu Web Güvenlik Açığı Tarayıcılarının Analizi bulundu: http://cs.ucsb.edu/~adoupe/static/black-box-scanners- dimva2010.pdfhttps://github.com/adamdoupe/WackoPicko

De-ICE PenTest LiveCD'leri PenTest LiveCD'leri, çalıştığı şirkette bir penetrasyon test ekibine aktarılan Thomas Wilhelm'in oluşturulmasıdır. Penetrasyon testi hakkında olabildiğince çabuk öğrenmesi gereken Thomas, hem araçları hem de hedefleri aramaya başladı. Bir takım araçlar buldu, ama pratik yapmak için kullanılabilir bir hedef yok. Sonunda, öğrenme boşluğunu daraltmak için Thomas, LiveCD'leri kullanarak PenTest senaryoları yarattı. http://de-ice.net/hackerpedia/index.php/De-ICE.net_PenTest_Disks

Metasploitable Metasploitable, VMWare 6.5 yansımasına bir Ubuntu 8.04 sunucu kurulumudur. Tomcat 5.5 (zayıf kimlik bilgileriyle), distcc, tikiwiki, twiki ve daha eski bir MySQL'in yüklenmesi de dahil olmak üzere bir dizi savunmasız paket dahildir. http://blog.metasploit.com/2010/05/introducing-metasploitable.html

Owaspbwa Açık Web Uygulaması Güvenlik Projesi (OWASP) Kırık Web Uygulamaları Projesi, savunmasız web uygulamalarından oluşan bir koleksiyon. http://code.google.com/p/owaspbwa/

Web Security Dojo Web Uygulama Güvenliği sızma testi için ücretsiz açık kaynaklı, bağımsız bir eğitim ortamı. Araçlar + Hedefler = Dojo http://www.mavensecurity.com/web_security_dojo/

Lampsecurity LAMPSgüvenlik eğitimi, linux, Apache, php, mysql güvenliğini öğretmek için tasarlanmış tamamlayıcı belgelerle birlikte bir dizi savunmasız sanal makine görüntüsü olarak tasarlanmıştır. http://sourceforge.net/projects/lampsecurity/files/

Lanet Savunmasız Web Uygulaması (DVWA) Lanet Savunmasız Web Uygulaması, savunmasız olan bir PHP/MySQL web uygulamasıdır. Temel hedefleri, güvenlik profesyonellerinin becerilerini ve araçlarını yasal bir ortamda test etmelerine yardımcı olmak, web geliştiricilerinin web uygulamalarını güvence altına alma süreçlerini daha iyi anlamalarına yardımcı olmak ve öğretmenlerin/öğrencilerin bir sınıf odası ortamında web uygulaması güvenliğini öğretmelerine/öğrenmelerine yardımcı olmaktır. . www.dvwa.co.uk

Hacking-Lab Bu Hacking-Lab LiveCD projesidir. Şu anda beta stadyumunda. Canlı cd, Hacking-Lab savaş oyunu zorluklarımızı uzaktan çözmek için standartlaştırılmış bir istemci ortamıdır. http://www.hacking-lab.com/hl_livecd/

Güve Güve, aşağıdakiler için kullanabileceğiniz bir dizi savunmasız Web Uygulaması ve komut dosyasına sahip bir VMware görüntüsüdür: http://www.bonsai-sec.com/en/research/moth.php

Lanet olsun Savunmasız Linux (DVL) Lanet olsun Savunmasız Linux iyi bir Linux dağıtımının olmadığı her şeydir. Geliştiricileri, onu saldırılara karşı savunmasız hale getiren kırık, kötü yapılandırılmış, eski ve sömürülebilir yazılımlarla doldurmak için saatler harcadı. DVL masaüstünüzde çalışacak şekilde tasarlanmamıştır; güvenlik öğrencileri için bir öğrenme aracıdır. http://www.damnvulnerablelinux.org

pWnOS pWnOS, penetrasyon testinin uygulanacağı bir hedef oluşturan bir "VM Image" üzerindedir; “nihai hedef” ile kök salmaktır. Birden fazla giriş noktasıyla istismar kullanarak pratik yapmak üzere tasarlanmıştır http://www.backtrack-linux.org/forums/backtrack-videos/2748-%5Bvideo%5D-attacking-pwnos.html - http://www.krash.in/bond00/pWnOS%20v1.0.Zip

Sanal Korsan Laboratuvarı Bilinen güvenlik açıklarına sahip kasıtlı olarak güvensiz uygulamaların ve eski yazılımların bir aynası. Kavram kanıtı/güvenlik eğitimi/öğrenme amacıyla kullanılır. Sanal görüntülerde veya canlı iso veya bağımsız biçimlerde kullanılabilir. http://sourceforge.net/projects/virtualhacking/files/

Badstore Badstore.net, bilgisayar korsanlarının Web uygulaması güvenlik açıklarını nasıl avladıklarını anlamanıza ve maruz kalmanızı nasıl azaltacağınızı göstermeye yardımcı olmaya adanmıştır. http://www.badstore.net/

Katana Katana, günümüzün en iyi güvenlik dağıtımlarını ve taşınabilir uygulamalarını tek bir Flash Sürücüyü çalıştırmak için bir araya getiren taşınabilir bir çoklu önyükleme güvenlik paketidir. Kalem Testi, Denetim, Adli Tıp, Sistem Kurtarma, Ağ Analizi ve Kötü Amaçlı Yazılımları Kaldırma konularına odaklanan dağıtımları içerir. Katana ayrıca 100'den fazla taşınabilir Windows uygulamasıyla birlikte gelir; Wireshark, Metasploit, NMAP, Cain & Able ve daha fazlası gibi. www.hackfromacave.com/katana.html

45
labmice

Üzerinde çalışmak için bir test ağı kurmak için birkaç seçenek vardır. DVL ve Metasploitable içeren bu sor içinde bilinen savunmasız işletim sistemlerinin iyi bir listesi var.

Ağınızdaki sunucular olarak kurulmalarını sağlamak için öncelikle çalışan bir sanallaştırma yazılımına ihtiyacınız vardır.

Virtualbox ile yaşadığınız sorunların ne olduğundan emin değilsiniz, VMWare Player . Yukarıda bahsedilen savunmasız işletim sistemlerini yüklemenize izin vermesi gereken ücretsiz ve nispeten basit bir sanallaştırma sistemidir. Çalıştırdıktan sonra, yazılımı ana makinenizden sanal bir ağ üzerinden erişilebilecek sanal makinelere yükleyebilmeniz ve bunları test edebilmeniz gerekir.

20
Rory McCune

Metasploitable ve UltimateLAMP-0.2 test etmek için harika hedef sanal makinelerdir.

16
HD Moore

Aynı makineye bir sunucu kurmaya çalıştım (sanal kutu üzerinden) ve hedef olarak yaptım ama başarısız oldu

Sanal makineleri kullanmak muhtemelen sorunu çözmenin doğru yoludur - bunları neden kuramıyorsunuz ve çalıştırmayı başaramazsanız, belki de bu sorunları çözmek için biraz yardım alabilirsiniz (serverfault tartışmak için daha uygun bir yer olabilir) bina vms).

7
symcbean

Sadece eğlence için, DC'de 2010 seçiminden önce bir İnternet Oylama paketinin harika bir canlı kamu testi olduğunu not edeceğim. Ama şimdi bitti, böylece eğlenceye katılamazsınız.

Michigan Üniversitesi'ndeki bazı güvenlik araştırmacılarının seçim yöneticilerine İnternet Oylama dünya çapında çözülmemiş bir güvenlik sorun hakkında bazı harika dersler vermelerine yardımcı oldu. Ayrıca bkz İnternet Oylamanın Tehlikeleri Onaylandı | Doğrulanmış Oylama Blog

4
nealmcb