Белый хакер должен знать, как правильно проводить тестирование на проникновение в современных веб-технологиях. И он точно сможет анализировать уязвимости, чтобы обезопасить свою технику.
В результате выполнения задания вы сможете обнаружить, эксплуатировать и тестировать веб-технологии на основе методологии OWASP.
- Доступ к интернету.
- Установленная Windows OS или Linux OS.
- Загрузите операционную систему с образом bWAPP для изучения OWASP Top 10.
- Следуя инструкции из вебинара, установите и подключитесь к виртуальной машине.
- Выполните задание.
- Для выполнения работы запустите образы операционных систем на базе ОС Debian и bWAPP.
- Настройте сетевой доступ: Kali Linux —
192.168.0.1, Bee-Box —192.168.0.2. - Запустите Burp Suite. Включите проксирование.
- Получите доступ к сайту Bee-Box, открыв браузер в системе Kali Linux по адресу
192.168.0.2. Логин и пароль для доступа:bee/bug. - Выберите атаки типа SQL injection.
- Проведите SQL injection типа
obstruction' OR 1=1#и получите полный ответ от сервиса. - Проанализируете перехваченные Burp Suite пакеты и посмотрите, что передаёт клиент серверу и что отвечает сервер.
- Приведите снимок экрана в отчёт и выводы по анализу.
- Выберите атаки типа Cross-Site Scripting (XSS).
- Проведите атаку путём injection HTML-кода типа
alert(‘1’);. - Проанализируете перехваченные Burp Suite пакеты и посмотрите, что передаёт клиент серверу и что отвечает сервер.
- Приведите снимок экрана в отчёт и выводы по анализу.
- Выберите атаки типа Server-Side Includes (SSI).
- Проведите атаку путём injection
<!--#exec cmd="whoami" -->. - Проанализируете перехваченные Burp Suite пакеты и посмотрите, что передаёт клиент серверу и что отвечает сервер.
- Приведите снимок экрана в отчёт и выводы по анализу.