網站資訊安全測試的模擬教學環境 WebGoat / mutillidae
這篇文章主要介紹兩個工具,讓你可以快速地建立一個資訊安全測試的網站。
這個工具所設立的網站,有許多的資訊安全弱點,並且網站內建有許多豐富的教學資源說明如何攻擊與需要注意的地方。
對於想要學習網站的資訊安全測試,可以善用這兩個工具網路。
或是對於 IT 要測試防火牆,模擬外部駭客攻擊到內部弱點網站,也可以用這樣的方式建立內部弱點網站。
這個兩個工具分別為 Web Goat & Mutillidae
WebGoat
這是 OWASP 組織所提供的一個資訊安全測試的弱點網站。
該網站背後技術由 Java 完成,下載完壓縮檔,執行 JAR 檔,即可執行,無須其他安裝或是設定步驟
安裝 WebGoat
首先到這個網站 http://webgoat.github.io/ or https://github.com/WebGoat/WebGoat-Legacy/releases
下載 WebGoat JAR , https://github.com/WebGoat/WebGoat-Legacy/releases/download/v6.0.1/WebGoat-6.0.1-war-exec.jar
下載後,確定電腦已安裝 Java Runtime,執行下列指令即可
| Java -jar WebGoat-6.0.1-war-exec.jar |
啟動之後,用瀏覽器輸入網址 http://localhost:8080/WebGoat
登入帳號密碼如下
| Account | User | Password |
|---|---|---|
| Webgoat User | guest | guest |
| Webgoat Admin | webgoat | webgoat |
Mutillidae
另外一個工具 Mutillidae 也是提供一個網站資訊安全測試的環境,同時也有許多的教學範例。
這個工具主要是用 PHP 完成,因此安裝上需要事先先安裝 XAMPP
1. 安裝 XAMPP
https://www.apachefriends.org/download.html
2. 下載 Mutillidae 壓縮檔
http://sourceforge.net/projects/mutillidae/
下載完之後,解壓縮到 XAMPP 的網站路徑下 \xampp\htdocs\mutillidae
3. 開啟瀏覽器
http://localhost/mutillidae/
虛擬機器 VM
最後介紹一個是提供整個 Virtual Image,這個 Image 啟動之後,內建許多的弱點網站可供測試。
當然也包含 WebGoat 與 mutillidae
下載該虛擬機器環境: http://sourceforge.net/projects/owaspbwa/files/
小結
這篇文章介紹兩種可以建立網站資訊安全測試的模擬環境。
對於網站資訊安全不熟悉,或是需要一個模擬的網站環境可以測試並且學習,這兩個是很好的工具。
一個是 WebGoat 主要由 Java 建構。
一個是 mutillidae 由 PHP建構。
最後一個是整個 Virtual machine 的 image
不管是哪一種方式,這些教學範例與說明都很詳細。對於測試的觀點來說,資訊安全測試的方法都相同。
當建立這樣的網站時候,不使用的時候,該網站必須保持關閉的狀態,因為設立這樣的網站,其實也讓該電腦系統間接曝露許多的弱點。