如何準備一個資訊安全測試環境
我們知道沒有經過允許的資訊安全測試行為就會變成駭客攻擊行為
那麼如果要練習網站資訊安全測試有哪些網站可以練習呢?
這邊舉幾個”線上”供練習的網站,與一個可以讓你在本機虛擬環境中建立的網站
這些網站都刻意設計成弱點很多的網站,讓您可以比較容易瞭解網站弱點與測試的過程
OWASP Broken Web Application
http://sourceforge.net/projects/owaspbwa/files/
首先要介紹的是 OWASP 的 Broken Web
這是一個 Virtual Machine 的環境,下載啟動之後內建超過 10個以上的具有許多弱點網站
包含 WebGoat..與 Mutillidae 等,不需要自己架設網站或是其他額外的設定就可以使用
很適合內部網站資訊安全教育訓練使用,也適合防火牆的測試。
想像公司要設定防火牆,保護內部網站安全
就可以用這些具有許多弱點的網站,
並且試著由 Internet 做入侵測試看看防火牆是否可以有效阻擋該入侵攻擊
如果不想花時間下載 Virtual Machine 的環境,
希望可以直接在 Inetnet網站上測試,可以參考下列網站:
(沒有經過允許的情況下,任意進行資訊安全測試 Inernet 網站,是違法的喔!)
- IBM/Watchfire AltoroMutual: http://demo.testfire.net (jsmith/Demo1234)
- Free Bank Online: http://zero.webappsecurity.com (admin/admin)
- Acunetix:
- http://testasp.vulnweb.com (Forum – ASP)
- http://testaspnet.vulnweb.com (Blog – .NET)
- http://testphp.vulnweb.com (Art shopping – PHP)
- Cenzic CrackMeBank: http://crackme.cenzic.com
- https://hack.me/
這些網站都是因為廠商為了測試與 Demo Web Security Scanner,所設立的網站
當然,這些網站都具有許多顯而易見的資訊安全風險,
目的也是為了讓大家容易了解資訊安全風險所帶來的風險與影響。
小結
這篇文章介紹如何善用一些資源,模擬一個資訊安全風險的網站以供測試、資安訓練。
主要分為兩大類:
一類是 Virtual Image ,下載之後用 VirtualBox or VMplayer 啟動就可以啟動該網站,
另一類是相關 Web Security Scanner 廠商所提供的線上網站,這些網站有許多顯見的弱點供測試練習