2.3、Web应用审计 · CTF 领域指南

## 2.3、Web应用审计欢迎来到Web渗透部分，在这个部分中将会熟悉Web应用中发现的常见漏洞。在该部分结束时你应该能够使用各种测试方法和源码级别审计识别基于Web的常见应用漏洞。课程资源中将会给出对挑战工坊资源进行成功审计的所有工具。 **课程** * [Web Hacking Part I](http://vimeo.com/32509769) * [Web Hacking Part II](http://vimeo.com/32550671) **挑战工坊** 为了锻炼你的技能，我们建议你实践一遍Damn Vulnerable Web App（DVWA）和Sibria Exploit Kit的漏洞发掘与利用。DVWA是基于PHP并汇总了各类漏洞的一套测试环境，在其中能够看到Web应用中许多常见的错误。Siberia Exploit Kit是一个被许多犯罪份子用来完成大量攻击的“犯罪套件”，它包括了一个浏览器利用包和一个用来管理受害主机的控制面板。Siberia包含的几种基于POST的身份认证漏洞允许攻击者获得管理员权限并接管服务器所在的主机。下载并在VMware虚拟机中运行[OWASP Broken Web Apps](https://code.google.com/p/owaspbwa/)开始此次挑战工坊。BWA包含许多用来安全测试的Web应用，其中包括DVWA。如果你搞定了DVWA，那么放轻松再试试其他Web应用漏洞！尝试审计Siberia的源码来找寻漏洞，要将注意力集中在PHP输入的代码上。 * [OWASP Broken Web Apps](https://code.google.com/p/owaspbwa/) * [Siberia Crimeware Pack](https://trailofbits.github.io/ctf/web/workshop/siberia.zip) (口令: infected) **工具** Burp Suite是一个用来安全测试的本地HTTP代理。Burp Suite是针对Web渗透测试人员开发的，并将许多常见功能集成在一个GUI界面中。免费版本的可用功能足以完成上面的挑战和许多其他Web安全挑战。 * [Burp Suite](http://portswigger.net/burp/download.html) **资源** 许多简单的测试方法和常见的Web应用漏洞都可以在该部分的挑战题中遇到。在做这些挑战题前请先确定你理解了HTTP、HTML和PHP的基础知识。 * [OWASP Top 10 Tools and Tactics](http://resources.infosecinstitute.com/owasp-top-10-tools-and-tactics/) * [The Tangled Web: Chapter 3](http://www.nostarch.com/download/tangledweb_ch3.pdf) * [PHP Primer](http://www2.astro.psu.edu/users/sdb210/documents/phpprimer_v0.1.pdf)