it-swarm-korea.com

침투 테스트 서버

대학 수업의 일부로 Metasploit 를 사용하는 방법을 배우고 있습니다. 아시다시피 NOWASP (Mutillidae) 또는 Damn Vulnerable Linux 와 같은 소프트웨어 빌드가있어 테스트 또는 유사한 작업을 수행 할 수 있습니다. 페이로드가 작동하려면 대상 피해자가 PC를 서버로 실행해야한다고 들었습니다. Virtualbox를 통해 동일한 컴퓨터에 서버를 설정하려고 시도했지만 대상으로 만들었지 만 실패했습니다. 연습 할 수있는 서버 또는 비슷한 것이 있는지 (법적으로 테스트 시스템에 대해) 알고 있습니까?

45
py_script

http://www.irongeek.com/i.php?page=security/wargames

WebGoat . WebGoat은 의도적으로 안전하지 않은 일련의 Java 서버 페이지

http://www.hackthissite.org/

http://www.smashthestack.org/wargames

그들의 FAQ에서 :

Smash the Stack Wargaming Network는 여러 Wargame을 호스팅합니다. 우리의 맥락에서 Wargame은 실제 소프트웨어 취약성 이론 또는 개념의 시뮬레이션을 지원하고 악용 기술의 합법적 인 실행을 허용하는 윤리적 해킹 환경이라고 할 수 있습니다. 소프트웨어는 운영 체제, 네트워크 프로토콜 또는 모든 사용자 응용 프로그램 일 수 있습니다.

http://www.astalavista.com/page/wargames.html

http://www.governmentsecurity.org/forum/index.php?showtopic=15442

http://www.overthewire.org/wargames/

목록이 길다. 어떤 것은 일어나고 어떤 것은 아니고 ...

Update 2011 년 2 월 26 일, http://r00tsec.blogspot.com/2011/02/pentest-lab에서 멋진 게시물을 찾았습니다. -vulnerable-servers.html . 일부 링크가 끊어졌을 수 있습니다. 나는 거기에서 복사합니다 :

Holynix Holy Cd 및 pWnOS와 마찬가지로 holynix는 침투 테스트 목적으로 보안 허점을 갖도록 의도적으로 구축 된 우분투 서버 VMware 이미지입니다. 실제 사례보다 더 많은 장애물 코스. http://pynstrom.net/index.php?page=holynix.php

WackoPicko WackoPicko는 알려진 취약점이 포함 된 웹 사이트입니다. Johnny Ca n't Pentest : Black-box Web Vulnerability Scanners의 분석 논문에서 처음으로 사용되었습니다 : http://cs.ucsb.edu/~adoupe/static/black-box-scanners- dimva2010.pdfhttps://github.com/adamdoupe/WackoPicko

De-ICE PenTest LiveCD PenTest LiveCD는 토머스 빌헬름 (Thomas Wilhelm)의 작품으로, 회사에서 일하는 침투 테스트 팀으로 옮겨졌습니다. Thomas는 침투 테스트에 대해 최대한 빨리 배울 필요가 있었으므로 도구와 목표를 찾기 시작했습니다. 그는 여러 가지 도구를 찾았지만 사용할 수있는 목표는 없었습니다. 결국 학습 격차를 좁히기 위해 Thomas는 LiveCD를 사용하여 PenTest 시나리오를 만들었습니다. http://de-ice.net/hackerpedia/index.php/De-ICE.net_PenTest_Disks

Metasploitable Metasploitable은 VMWare 6.5 이미지에 설치된 Ubuntu 8.04 서버입니다. Tomcat 5.5 (약한 자격 증명 포함), distcc, tikiwiki, twiki 및 이전 mysql 설치를 포함하여 여러 가지 취약한 패키지가 포함됩니다. http://blog.metasploit.com/2010/05/introducing-metasploitable.html

Owaspbwa OWASP (Open Web Application Security Project) 취약한 웹 응용 프로그램의 모음 인 Broken Web Applications Project. http://code.google.com/p/owaspbwa/

웹 보안 Dojo 웹 애플리케이션 보안 침투 테스트를위한 무료 오픈 소스 독립형 교육 환경. 도구 + 대상 = Dojo http://www.mavensecurity.com/web_security_dojo/

Lampsecurity LAMP 보안 교육은 리눅스, 아파치, PHP, MySQL 보안을 가르치기위한 보완 문서와 함께 일련의 취약한 가상 머신 이미지로 설계되었습니다. http://sourceforge.net/projects/lampsecurity/files/

Damn Vulnerable Web App (DVWA) Damn Vulnerable Web App은 취약한 PHP/MySQL 웹 응용 프로그램입니다. 주요 목표는 보안 전문가가 법적인 환경에서 기술과 도구를 테스트 할 수 있도록 지원하고, 웹 개발자가 웹 응용 프로그램을 보호하는 프로세스를 더 잘 이해하도록 도와 주며, 교사/학생이 교실 환경에서 웹 응용 프로그램 보안을 가르치고 배울 수 있도록 돕는 것입니다. . www.dvwa.co.uk

Hacking-Lab 이것은 Hacking-Lab LiveCD 프로젝트입니다. 현재 베타 경기장에 있습니다. live-cd는 Hacking-Lab wargame 과제를 원격에서 해결하기위한 표준화 된 클라이언트 환경입니다. http://www.hacking-lab.com/hl_livecd/

Moth Moth는 취약한 웹 응용 프로그램 및 스크립트 세트가 포함 된 VMware 이미지입니다. http://www.bonsai-sec.com/en/research/moth.php

Damn Vulnerable Linux (DVL) Damn Vulnerable Linux는 좋은 Linux 배포판이 아닌 모든 것입니다. 개발자들은 공격에 취약하게 만드는 손상되고 잘못 구성되고 구식이며 악용 가능한 소프트웨어로 시간을 투자했습니다. DVL은 데스크톱에서 실행되도록 제작 된 것이 아니라 보안 학생을위한 학습 도구입니다. http://www.damnvulnerablelinux.org

pWnOS pWnOS는 "VM 이미지"에 있으며 침투 테스트를 수행 할 대상을 만듭니다. "끝 목표"는 뿌리를 얻는 것입니다. 여러 진입 점이있는 익스플로잇을 사용하도록 설계되었습니다. http://www.backtrack-linux.org/forums/backtrack-videos/2748-%5Bvideo%5D-attacking-pwnos.html - http://www.krash.in/bond00/pWnOS%20v1.0.Zip

가상 해킹 랩 의도적으로 안전하지 않은 응용 프로그램 및 알려진 취약점이있는 오래된 소프트웨어의 미러입니다. 개념 증명/보안 교육/학습 목적으로 사용됩니다. 가상 이미지 또는 라이브 ISO 또는 독립형 형식으로 제공됩니다. http://sourceforge.net/projects/virtualhacking/files/

Badstore Badstore.net은 해커가 웹 응용 프로그램 취약점을 어떻게 피하는지 이해하고 노출을 줄이는 방법을 보여줍니다. http://www.badstore.net/

Katana Katana는 휴대용 멀티 부팅 보안 제품군으로, 오늘날 최고의 보안 배포판과 휴대용 응용 프로그램을 하나로 통합하여 단일 플래시 드라이브를 실행할 수 있습니다. 여기에는 펜 테스트, 감사, 법의학, 시스템 복구, 네트워크 분석 및 맬웨어 제거에 중점을 둔 배포판이 포함됩니다. Katana는 또한 100 개 이상의 휴대용 Windows 응용 프로그램과 함께 제공됩니다. Wireshark, Metasploit, NMAP, Cain & Able 등이 있습니다. www.hackfromacave.com/katana.html

45
labmice

테스트 네트워크를 설정하기위한 몇 가지 옵션이 있습니다. 이 질문 에는 DVL과 Metasploitable을 포함하여 알려진 취약한 운영 체제 목록이 많이 있습니다.

네트워크에서 서버로 설정하는 데는 작동중인 가상화 소프트웨어가 주로 필요합니다.

Virtualbox에 어떤 문제가 있는지 잘 모르면 VMWare Player 를 사용해보십시오. 무료이며 비교적 간단한 가상화 시스템으로 위에서 언급 한 취약한 운영 체제를 설치할 수 있습니다. 작업이 완료되면 가상 네트워크를 통해 호스트 시스템에서 액세스 할 수있는 가상 시스템에 소프트웨어를 설치할 수 있어야하며 해당 시스템을 테스트 할 수 있어야합니다.

20
Rory McCune

Metasploitable 및 UltimateLAMP-0.2는 테스트 할 훌륭한 대상 가상 머신입니다.

16
HD Moore

가상 머신을 통해 동일한 컴퓨터에 서버를 설정하고 대상으로 만들려고했지만 실패했습니다.

가상 머신을 사용하는 것이 문제를 해결하는 올바른 방법 일 수 있습니다. 이러한 문제를 해결하지 못한 이유를 말한 경우 이러한 문제를 해결하는 데 도움이 될 수 있습니다 (serverfault가 논의하기에 더 적합한 장소 일 수 있음) 건물 VMS).

7
symcbean

재미를 위해 2010 년 DC 선거 전에 인터넷 투표 패키지에 대한 훌륭한 공개 공개 테스트가있었습니다. 그러나 이제 끝났으므로 재미에 참여할 수 없습니다.

그것은 미시간 대학교의 일부 보안 연구원들이 선거 관리자들에게 인터넷 투표는 세계적 수준의 미해결 보안 문제 에 대한 몇 가지 훌륭한 교훈을 가르쳐주었습니다. 인터넷 투표의 위험이 확인 됨 | 검증 된 투표 블로그

4
nealmcb