探索网络安全新技术
攀登黑客技术最高峰

模拟真实场景的Web漏洞测试平台:Web-Hacking-Playground

模拟真实场景的Web漏洞测试平台:Web-Hacking-Playground-威武网安

平台介绍

Web-Hacking-Playground是一个高度仿真的Web应用程序靶场,提供了真实场景中的各种安全漏洞。这个受控环境不仅可以帮助研究人员和开发人员练习安全技术,还可以测试其漏洞扫描和攻击工具的有效性。

工具安装

我们推荐使用Kali Linux虚拟环境来运行这个实验工具。以下是在Kali Linux中安装Docker的命令

sudo apt update -y

sudo apt install -y docker.io

sudo systemctl enable docker --now

sudo usermod -aG docker $USER

基于Debian的发行版系统上安装Docker,可以运行下列命令

curl -fsSL https://get.docker.com -o get-docker.sh

sudo sh get-docker.sh

sudo systemctl enable docker --now

sudo usermod -aG docker $USER

安装Docker Compose

 sudo apt install -y docker-compose

如果你使用的是M1芯片,建议在构建镜像之前执行下列命令

export DOCKER_DEFAULT_PLATFORM=linux/amd64

用下列命令将该项目源码克隆至本地,并构建Docker镜像

git clone https://github.com/takito1812/web-hacking-playground.git

cd web-hacking-playground

docker-compose build

建议安装Foxy Proxy浏览器扩展,它允许我们轻松更改代理设置,以及Burp Suite,我们将使用它来拦截HTTP请求。我们将在Foxy Proxy中创建一个新的配置文件,以使用Burp Suite作为代理。为此,我们找到Foxy Proxy选项,并添加一个具有以下配置的代理

Proxy Type: HTTP

Proxy IP address: 127.0.0.1

Port: 8080

部署使用

使用下列命令部署实验环境

git clone https://github.com/takito1812/web-hacking-playground.git

cd web-hacking-playground

docker-compose up -d

上述命令将创建两个包含Flask应用程序的容器,端口为80

1、包含漏洞的Web应用程序:模拟了一个社交网络平台;

2、漏洞利用服务器:你不用尝试攻击它,因为它没有漏洞,它是指为了模拟用户访问了恶意链接而已;

我们还需要将容器IP添加到/etc/hosts文件中:

sudo sed -i '/whp-/d' /etc/hosts

echo "$(docker inspect -f '{{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' whp-socially) whp-socially" | sudo tee -a /etc/hosts

echo "$(docker inspect -f '{{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' whp-exploitserver) whp-exploitserver" | sudo tee -a /etc/hosts

完成之后,我们就可以通过http://whp-socially来访问包含漏洞的Web应用程序,或通过 http://whp-exploitserver,注意,使用漏洞利用服务器时,必须使用上述URL,即使用域名而不是IP,这样可以确保容器之间的正确通信。

平台预览

模拟真实场景的Web漏洞测试平台:Web-Hacking-Playground-威武网安

模拟真实场景的Web漏洞测试平台:Web-Hacking-Playground-威武网安

项目地址

web-hacking-playground

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《模拟真实场景的Web漏洞测试平台:Web-Hacking-Playground》
文章链接:https://www.wevul.com/305.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 抢沙发

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册