it-swarm-eu.dev

Servery pro testování penetrace

Učím se používat Metasploit jako součást jedné z mých vysokoškolských lekcí. Jak možná víte, existují softwarové buildy jako NOWASP (Mutillidae) nebo Damn Vulnerable Linux , které vám umožňují cvičit na pentest nebo podobné věci. Slyšel jsem, že aby mohla užitečná zatížení pracovat s cílovou obětí, měla by spustit svůj počítač jako server. Snažil jsem se nastavit server na stejném počítači (prostřednictvím Virtualboxu) a nastavit ho jako cíl, ale selhal. Takže, víte, jestli existuje server nebo něco podobného, ​​co mi umožňuje trénovat (legálně, proti testovacím systémům)?

45
py_script

http://www.irongeek.com/i.php?page=security/wargames

WebGoat . WebGoat je sada záměrně nezabezpečených serverů Java)

http://www.hackthissite.org/

http://www.smashthestack.org/wargames

z jejich FAQ:

Síť Smash the Stack Wargaming Network hostí několik válečných her. Wargame v našem kontextu lze popsat jako etické hackerské prostředí, které podporuje simulaci teorií nebo konceptů zranitelnosti v reálném světě a umožňuje legální provádění technik exploatace. Software může být operační systém, síťový protokol nebo jakákoli uživatelská aplikace.

http://www.astalavista.com/page/wargames.html

http://www.governmentsecurity.org/forum/index.php?showtopic=15442

http://www.overthewire.org/wargames/

seznam je dlouhý ... někteří jsou nahoru, jiní ne ...

Aktualizace 26. února 2011, Našel jsem pěkný příspěvek od http://r00tsec.blogspot.com/2011/02/pentest-lab -vulnerable-servery.html . Některé odkazy mohou být přerušeny. Kopírovat odtamtud:

Holynix Podobně jako v případě de-ice Cd a pWnOS je holynix obraz vmware serveru Ubuntu, který byl záměrně vytvořen tak, aby měl bezpečnostní díry pro účely penetračního testování. Spíše překážka než příklad ze skutečného světa. http://pynstrom.net/index.php?page=holynix.php

WackoPicko WackoPicko je web, který obsahuje známé chyby zabezpečení. Bylo to poprvé použito v článku Proč Johnny Can't Pentest: Analýza nalezených skenerů zranitelnosti na webu nalezena: http://cs.ucsb.edu/~adoupe/static/black-box-scanners- dimva2010.pdfhttps://github.com/adamdoupe/WackoPicko

De-ICE PenTest LiveCDs PenTest LiveCD jsou vytvořením Thomase Wilhelma, který byl převeden do penetračního testovacího týmu ve společnosti, pro kterou pracoval. Thomas se musel co nejrychleji naučit co nejvíce o penetračních testech a začal hledat nástroje i cíle. Našel řadu nástrojů, ale žádné použitelné cíle, proti nimž by se mohl cvičit. Nakonec Thomas ve snaze omezit mezeru ve učení vytvořil scénáře PenTest pomocí LiveCD. http://de-ice.net/hackerpedia/index.php/De-ICE.net_PenTest_Disks

Metasploitable Metasploitable je instalace serveru Ubuntu 8.04 na obrázek VMWare 6.5. Zahrnuto je mnoho zranitelných balíčků, včetně instalace aplikace Tomcat 5.5 (se slabými přihlašovacími údaji), distcc, tikiwiki, twiki a starší mysql. http://blog.metasploit.com/2010/05/introducing-metasploitable.html

Owaspbwa Open Web Application Security Project (OWASP) Broken Web Applications Project, soubor zranitelných webových aplikací. http://code.google.com/p/owaspbwa/

Web Security Dojo Zdarma open-source samostatné školicí prostředí pro testování penetrace Web Application Security. Nástroje + cíle = Dojo http://www.mavensecurity.com/web_security_dojo/

Lampsecurity LAMPSecurity training je navržen jako série zranitelných obrazů virtuálních strojů spolu s doplňkovou dokumentací určenou k výuce zabezpečení linuxu, Apache, php, mysql. http://sourceforge.net/projects/lampsecurity/files/

Damn Vulnerable Web App (DVWA) Damn Vulnerable Web App je webová aplikace PHP/MySQL, která je zatraceně zranitelná. Jejím hlavním cílem je pomoci odborníkům v oblasti bezpečnosti, aby otestovali své dovednosti a nástroje v právním prostředí, pomohli vývojářům webu lépe porozumět procesům zabezpečení webových aplikací a pomáhali učitelům/studentům učit/učit se zabezpečení webových aplikací v prostředí třídy . www.dvwa.co.uk

Hacking-Lab Toto je projekt Hacking-Lab LiveCD. V současné době je na beta stadionu. Live-cd je standardizované klientské prostředí pro řešení našich výzev ve hře Hacking-Lab wargame ze vzdáleného. http://www.hacking-lab.com/hl_livecd/

Moth Moth je obrázek VMware se sadou zranitelných webových aplikací a skriptů, které můžete použít pro: http://www.bonsai-sec.com/en/research/moth.php

Zatraceně zranitelný Linux (DVL) Sakra zranitelný Linux je vše, co dobrá distribuce Linuxu není. Jeho vývojáři strávili celé hodiny plněním rozbitého, špatně nakonfigurovaného, ​​zastaralého a využitelného softwaru, díky němuž je zranitelné vůči útokům. DVL není zkonstruováno tak, aby fungovalo na ploše - je to nástroj pro učení studentů zabezpečení. http://www.damnvulnerablelinux.org

pWnOS pWnOS je na „VM Image“, který vytváří cíl, na kterém lze provádět penetrační testování; „koncovým cílem“ je zakořenit. Byl navržen pro použití exploitů s více vstupními body http://www.backtrack-linux.org/forums/backtrack-videos/2748-%5Bvideo%5D-attacking-pwnos.html - http://www.krash.in/bond00/pWnOS%20v1.0.Zip

Virtuální hackerská laboratoř Zrcadlo záměrně nezabezpečených aplikací a starého softwaru se známými zranitelnostmi. Používá se pro účely testování konceptu/školení/učení. K dispozici ve virtuálních obrázcích nebo v živých iso nebo samostatných formátech. http://sourceforge.net/projects/virtualhacking/files/

Badstore Badstore.net slouží k tomu, aby vám pomohl pochopit, jak hackeři kořistí ve zranitelnostech webových aplikací, a ukázat vám, jak snížit vaši expozici. http://www.badstore.net/

Katana Katana je přenosná sada zabezpečení pro spouštění více systémů, která spojuje mnoho z dnešních nejlepších distribucí zabezpečení a přenosných aplikací, aby mohla spouštět jeden disk Flash. Zahrnuje distribuce, které se zaměřují na testování perem, auditování, forenzní analýzu, obnovu systému, analýzu sítě a odstranění malwaru. Katana také přichází s více než 100 přenosnými aplikacemi Windows; jako Wireshark, Metasploit, NMAP, Cain & Able a mnoho dalších. www.hackfromacave.com/katana.html

45
labmice

Existuje několik možností, jak nastavit testovací síť, na které bude pracovat. tato otázka obsahuje dobrý seznam známých zranitelných operačních systémů, které zahrnují DVL a Metasploitable.

Pokud jde o jejich nastavení jako serverů ve vaší síti, potřebujete především nějaký pracovní virtualizační software.

Nejste si jisti, jaké máte problémy s Virtualboxem, můžete zkusit VMWare Player . Jedná se o bezplatný a relativně přímý virtualizační systém, který by vám měl umožnit instalaci výše uvedených zranitelných operačních systémů. Jakmile to bude fungovat, měli byste mít možnost nainstalovat software do virtuálních strojů, které budou přístupné z vašeho hostitelského počítače přes virtuální síť, a měli byste být schopni na nich otestovat.

20
Rory McCune

Metasploitable a UltimateLAMP-0.2 jsou skvělé cílové virtuální stroje, proti nimž se má testovat.

16
HD Moore

Snažil jsem se nastavit server na stejném počítači (prostřednictvím virtuální schránky) a učinit jej jako cíl, ale selhal

Používání virtuálních strojů je pravděpodobně tím správným způsobem, jak problém vyřešit - pokud byste uvedli, proč se vám nepodařilo tyto problémy uvést do provozu, možná byste mohli získat pomoc při řešení těchto problémů (serverfault může být vhodnějším místem k diskusi budování VMS).

7
symcbean

Pro zábavu si všimnu, že před volbami v roce 2010 v DC proběhl velký veřejný test balíčku internetového hlasování. Ale je konec, takže se nemůžete připojit k zábavě.

Pomohlo to některým vědcům v oblasti bezpečnosti na Michiganské univerzitě naučit volební administrátory několik skvělých lekcí o tom, jak Internetové hlasování je dosud nevyřešený bezpečnostní problém na světové úrovni . Viz také Nebezpečí internetového hlasování potvrzeno | Blog o ověřeném hlasování

4
nealmcb