bWAPP ດາວ​ໂຫຼດ​ສໍາ​ລັບ Windows​

ນີ້ແມ່ນແອັບ Windows ທີ່ມີຊື່ວ່າ bWAPP ເຊິ່ງລຸ້ນຫຼ້າສຸດສາມາດດາວໂຫຼດໄດ້ໃນນາມ bWAPP_latest.zip. ມັນສາມາດດໍາເນີນການອອນໄລນ໌ຢູ່ໃນຜູ້ໃຫ້ບໍລິການໂຮດຕິ້ງຟຣີ OnWorks ສໍາລັບສະຖານີເຮັດວຽກ.

ໜ້າ ຈໍ

bWAPP

ລາຍລະອຽດ

bWAPP, ຫຼືຄໍາຮ້ອງສະຫມັກເວັບໄຊຕ໌ buggy, ເປັນແຫຼ່ງຟຣີແລະແຫຼ່ງເປີດຄໍາຮ້ອງສະຫມັກເວັບໄຊຕ໌ທີ່ບໍ່ປອດໄພໂດຍເຈດຕະນາ.

bWAPP ຊ່ວຍໃຫ້ຜູ້ທີ່ກະຕືລືລົ້ນດ້ານຄວາມປອດໄພ, ນັກພັດທະນາ ແລະ ນັກຮຽນຄົ້ນພົບ ແລະ ປ້ອງກັນຊ່ອງໂຫວ່ຂອງເວັບ. bWAPP ກະກຽມຫນຶ່ງເພື່ອດໍາເນີນການທົດສອບການເຈາະສົບຜົນສໍາເລັດແລະໂຄງການ hacking ຈັນຍາບັນ. ສິ່ງທີ່ເຮັດໃຫ້ bWAPP ເປັນເອກະລັກຫຼາຍ? ດີ, ມັນມີຫຼາຍກວ່າ 100 ບັກເວັບ! ມັນກວມເອົາທຸກຊ່ອງໂຫວ່ເວັບທີ່ຮູ້ຈັກ, ລວມທັງຄວາມສ່ຽງທັງໝົດຈາກໂຄງການ OWASP Top 10. ຈຸດສຸມບໍ່ພຽງແຕ່ຢູ່ໃນບັນຫາສະເພາະຫນຶ່ງເທົ່ານັ້ນ... bWAPP ກໍາລັງກວມເອົາຊ່ອງໂຫວ່ທີ່ຫຼາກຫຼາຍ!

bWAPP ເປັນແອັບພລິເຄຊັນ PHP ທີ່ໃຊ້ຖານຂໍ້ມູນ MySQL. ມັນສາມາດຖືກໂຮດຢູ່ໃນ Linux / Windows ດ້ວຍ Apache / IIS ແລະ MySQL. ມັນສະຫນັບສະຫນູນໃນ WAMP ຫຼື XAMPP. ຄວາມ​ເປັນ​ໄປ​ໄດ້​ອີກ​ຢ່າງ​ຫນຶ່ງ​ແມ່ນ​ການ​ດາວ​ນ​໌​ໂຫລດ bee-box​, ເປັນ VM ທີ່​ກໍາ​ນົດ​ໄວ້​ລ່ວງ​ຫນ້າ​ທີ່​ຕິດ​ຕັ້ງ​ກັບ bWAPP​.

ໂຄງການນີ້ແມ່ນສ່ວນຫນຶ່ງຂອງໂຄງການ ITSEC GAMES. ທ່ານສາມາດຊອກຫາເພີ່ມເຕີມກ່ຽວກັບໂຄງການ ITSEC GAMES ແລະ bWAPP ໃນ blog ຂອງພວກເຮົາ.

ສໍາລັບການທົດສອບຄວາມປອດໄພແລະການສຶກສາເທົ່ານັ້ນ!

Cheers

Malik Mesellem

ຄຸນ​ລັກ​ສະ​ນະ

• SQL, HTML, iFrame, SSI, OS Command, PHP, XML, XPath, LDAP ແລະການສັກຢາ SMTP
• Blind SQL injection ແລະ Blind OS Command injection
• ການສັກຢາ Blind SQL ທີ່ອີງໃສ່ Boolean ແລະເວລາ
• Drupageddon ແລະ Drupalgeddon2 (CVE-2018-7600)
• ບັນຫາ AJAX ແລະບໍລິການເວັບ (JSON/XML/SOAP)
• ລວມມີຊ່ອງໂຫວ່ Heartbleed (OpenSSL) + ສະຄຣິບກວດຫາ
• ຊ່ອງໂຫວ່ Shellshock (CGI)
• Cross-Site Scripting (XSS) ແລະ Cross-Site Tracing (XST)
• phpMyAdmin BBCode Tag XSS
• ການປອມແປງການຮ້ອງຂໍຂ້າມເວັບໄຊ (CSRF)
• ການ​ເປີດ​ເຜີຍ​ຂໍ້​ມູນ​ຂ່າວ​ສານ​: favicons​, ຂໍ້​ມູນ​ສະ​ບັບ​, ສ່ວນ​ຫົວ​ທີ່​ກໍາ​ນົດ​ເອງ​, ...
• ການອັບໂຫລດໄຟລ໌ທີ່ບໍ່ຈໍາກັດແລະໄຟລ໌ backdoor
• ໄຟລ໌ເກົ່າ, ສຳຮອງຂໍ້ມູນ & ບໍ່ໄດ້ອ້າງອີງ
• ການກວດສອບຄວາມຖືກຕ້ອງ, ການອະນຸຍາດແລະບັນຫາການຈັດການກອງປະຊຸມ
• ການໂຈມຕີລະຫັດຜ່ານ ແລະ CAPTCHA
• ບໍ່ປອດໄພ DistCC, FTP, NTP, Samba, SNMP, VNC, WebDAV ການຕັ້ງຄ່າ
• ການເຂົ້າເຖິງໄຟລ໌ທີ່ຕົນເອງມັກກັບ Samba
• ເສັ້ນທາງຜ່ານໄດເລກະທໍລີແລະການເຂົ້າເຖິງໄຟລ໌ທີ່ບໍ່ຈໍາກັດ
• ການລວມໄຟລ໌ໃນທ້ອງຖິ່ນ ແລະທາງໄກ (LFI/RFI)
• ການປອມແປງການຮ້ອງຂໍດ້ານເຊີບເວີ (SSRF)
• ການໂຈມຕີ XML External Entity (XXE)
• ການໂຈມຕີແບບຜູ້ຊາຍໃນກາງ (HTTP/SMTP)
• ມົນລະພິດພາລາມິເຕີ HTTP ແລະ HTTP verb tampering
• ການໂຈມຕີປະຕິເສດການບໍລິການ (DoS): Slow Post, SSL-Exhaustion, XML Bomb,...
• ຄວາມອ່ອນແອຂອງ POODLE
• ການໂຈມຕີ BREACH/CRIME/BEAST SSL
• HTML5 ClickJacking ແລະບັນຫາການເກັບຮັກສາເວັບໄຊຕ໌
• iFrame ບໍ່ປອດໄພ (HTML5 sandboxing)
• ການອ້າງອີງວັດຖຸໂດຍກົງທີ່ບໍ່ປອດໄພ (ການລົບກວນພາຣາມິເຕີ)
• ການເກັບຮັກສາລະຫັດລັບທີ່ບໍ່ປອດໄພ
• ບັນຫາການແບ່ງປັນຊັບພະຍາກອນຂ້າມຕົ້ນທາງ (CORS).
• ການໂຈມຕີໄຟລ໌ນະໂຍບາຍຂ້າມໂດເມນ (Flash/Silverlight)
• ການຂະຫຍາຍສິດທິພິເສດໃນທ້ອງຖິ່ນ: udev, sendpage
• Cookie ແລະລະຫັດຜ່ານປັບເປັນພິດ
• ການໂຈມຕີສ່ວນຫົວຂອງເຈົ້າພາບ: ການຕັ້ງລະຫັດຜ່ານໃໝ່ ການເປັນພິດ ແລະມົນລະພິດຂອງແຄດ
• ການປະຕິບັດລະຫັດໄລຍະໄກ PHP CGI
• ຟັງຊັນ PHP Eval ອັນຕະລາຍ
• ການລົ້ນບັບເຟີໃນທ້ອງຖິ່ນ ແລະທາງໄກ (BOF)
• phpMyAdmin ແລະ SQLiteManager ຊ່ອງໂຫວ່
• ຊ່ອງໂຫວ່ຂອງເຄື່ອງແມ່ຂ່າຍເວັບ Nginx
• ການ​ແບ່ງ​ປັນ​ການ​ຕອບ​ສະ​ຫນອງ HTTP, unvalidated redirects and forwards
• ຄວາມອ່ອນແອຂອງ WSDL SOAP
• ໂໝດການພິສູດຢືນຢັນແບບອີງໃສ່ແບບຟອມ ແລະ ໂໝດບໍ່ມີການພິສູດຢືນຢັນ
• ການເຊື່ອມໂຍງ Active Directory LDAP
• ຄວາມ​ເປັນ​ໄປ​ໄດ້ fuzzing​
• ແລະອື່ນໆອີກ ...
• ຄໍາແນະນໍາ: ດາວໂຫລດ bee-box VM ຂອງພວກເຮົາ> ມັນມີສ່ວນຂະຫຍາຍທີ່ຈໍາເປັນທັງຫມົດ
• bee-box ແມ່ນເຂົ້າກັນໄດ້ກັບ VMware ແລະ VirtualBox!
• ມ່ວນມັນ bees ນ້ອຍ ;)

Audience

ຜູ້ເບິ່ງແຍງລະບົບ, ຜູ້ພັດທະນາ, ຜູ້ກວດສອບ, ຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພ

ໃນການໂຕ້ຕອບຜູ້ໃຊ້

ອີງຕາມເວບໄຊທ໌

ພາສາການຂຽນໂປຣແກຣມ

PHP, JavaScript

ສະພາບແວດລ້ອມຖານຂໍ້ມູນ

MySQL

ນີ້ແມ່ນແອັບພລິເຄຊັນທີ່ຍັງສາມາດເອົາມາຈາກ https://sourceforge.net/projects/bwapp/. ມັນໄດ້ຖືກຈັດຢູ່ໃນ OnWorks ເພື່ອໃຫ້ດໍາເນີນການອອນໄລນ໌ໃນວິທີທີ່ງ່າຍທີ່ສຸດຈາກຫນຶ່ງໃນລະບົບປະຕິບັດງານຟຣີຂອງພວກເຮົາ.