Malditos Vulneráveis Teste de aplicação Web

dvwa

O que é isso?

Bem-vindo ao nosso test drive - este documento lhe fornecerá as informações necessárias para tirar o máximo proveito do Damn Vulnerable Web App (DVWA) test drive em Azure.

Looxy.io é a nossa ferramenta de testes externos recomendada. Pode realizar uma variedade de testes de Segurança (e outros testes). O melhor de tudo é grátis! looxy.io

Como funciona?

O ALB-X tem a capacidade de executar aplicações em contêineres que podem ser unidas diretamente ou usando o balanceador de carga proxy. Esta imagem tem 1 Add-On já implantado mas você pode sempre ir ao Appstore the e implantar mais.

Visão Geral da Conectividade

As máquinas virtuais implantadas na nuvem Azure utilizam o endereçamento IP interno privado (NAT'ed IP's) da mesma forma que seriam implantadas num ambiente de centro de dados padrão.

dvwa Connectivity

Nome do anfitrião do Docker / endereço IP e conectividade do serviço IP

As aplicações Add-On implantadas no ALB-X comunicam-se com o ALB-X através de uma interface de rede interna da doca0. São-lhes automaticamente atribuídos endereços IP do pool interno do estivador0.

Um nome de host para cada instância de aplicação Add-On é configurado através do ALB-X GUI antes de iniciar a aplicação. O ALB-X é capaz de resolver o endereço IP do docker0 para a aplicação utilizando este nome de anfitrião interno. Utilize sempre o nome do anfitrião quando abordar os recipientes da aplicação - os IP's podem mudar!

Aceder ao GUI Test Drive

Quando você solicita um test drive, uma nova instância do aparelho de teste DVWA é criada em Azure.

Test drive DVWS

Recomendamos a utilização do navegador Chrome para este fim. Acesse o Servidor

https://host nome:27376

DVWS VIP

ALB-X Add-Ons

Clique em Biblioteca no menu à esquerda e selecione Add-Ons. Aqui você pode ver o DVWA Add-On que foi implantado na plataforma ALB-X.

Ele foi configurado com um container ou host name dvwa1 e você pode ver o endereço IP 172.x.x.x.x dinâmico docker0 que foi alocado quando a aplicação foi iniciada.

Maldito aplicativo da Web Vulnerável

Como é a funcionalidade DVWA que você está interessado, faria sentido agora dar uma olhada na GUI do DVWA. O DVWA, como você pode ver pelo nome dos serviços IP, funciona na porta 80.

DVWA DatabaseSetup

Clique em Create / Reset Database (Criar / Reiniciar banco de dados)

DVWS Create/Reset Database
DVWA login
DVWA welcome page

O nível de segurança padrão para o DVWA é "Impossível", portanto, não exibirá nenhuma vulnerabilidade.

Injeção de comando

Vamos tentar explorar uma das vulnerabilidades do DVWA. Como podemos ver, há uma página no DVWA onde podemos pingar qualquer endereço IP. Vamos verificar se o DVWA executa a validação dos parâmetros de entrada no modo de segurança "Baixa". Digite "127.0.0.1; cat /etc/passwd" no campo de entrada de endereço IP.

Voilà, nós injetamos com sucesso um comando arbitrário e conseguimos uma lista de usuários registrados no sistema operacional.

Maldito aplicativo da Web Vulnerável (DVWA)

Um servidor web alvo configurável que pode ser usado para testar seu WAF e ferramenta de Ataque

Ferramenta de Ataque de Aplicações Web ZAP

Web Application Attack Tool é um scanner de vulnerabilidade baseado em OWASP ZAP

Gostaríamos muito de ouvir de você

Contate-nos

0808 1645876

(866) 376-0175

Não acredite em nossa palavra - faça um teste gratuito

Hardware, software ou mesmo sua própria imagem on-line completa com um ambiente de teste completo.
Basta nos dizer o que você precisa aqui

Copyright © 2021 Edgenexus Limited.