Web漏洞靶场搭建(OWASP Benchmark)

最新推荐文章于 2025-12-30 00:04:42 发布
原创 最新推荐文章于 2025-12-30 00:04:42 发布 · 390 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端

本文介绍了如何搭建OWASP Benchmark靶场,一个用于评估安全测试工具能力和进行渗透测试训练的环境。内容包括靶场的作用、测试用例、评分标准、扫描报告解析以及部署运行步骤。

【摘要】 漏洞靶场,不仅可以帮助我们锻炼渗透测试能力、可以帮助我们分析漏洞形成机理、更可以学习如何修复提高代码能力,同时也可以帮助我们检测各种各样漏洞扫描器的效果。

# []()Web漏洞靶场搭建(OWASP Benchmark)

渗透测试切记纸上谈兵,学习渗透测试知识的过程中,我们通常需要一个包含漏洞的测试环境来进行训练。而在非授权情况下,对于网站进行渗透测试攻击,是触及法律法规的,所以我们常常需要自己搭建一个漏洞靶场,避免直接对公网非授权目标进行测试。\
漏洞靶场,不仅可以帮助我们锻炼渗透测试能力、可以帮助我们分析漏洞形成机理、更可以学习如何修复提高代码能力,同时也可以帮助我们检测各种各样漏洞扫描器的效果。

***

本次靶场选择 [OWASP Benchmark | OWASP Foundation]() 靶场。Owasp benchmark 旨在评估安全测试工具的能力(准确率、覆盖度、扫描速度等等),量化安全测试工具的扫描能力,从而更好得比较各个安全工具优缺点。

## []()测试用例

目前 v1.2 版本包含了近3000个漏洞,覆盖常见的SQL注入、命令注入、路径遍历、XSS,以及众多安全编码类的问题

![](https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/3b1c9f4426dd485683aecce1766b33b9~tplv-k3u1fbpfcp-zoom-1.image)

每个漏洞包含多种漏洞场景,对于命令注入来说,可以校验测试工具在:

-   多种注入位置:`param/data/form-data/json/mut/header/cookie/`
-   多种调用场景:`ProcessBuilder/RuntimeExec`
-   不同拼接方式:可控变量作为独立的命令拼接、仅作为`ls/echo` 的参数
-   复杂业务流程: `if/else/switch` 导致无法进入漏洞位置(假漏洞场景)\
  &n

最低0.47元/天 解锁文章
是怼怼呀11
关注
搭建自己的Web漏洞靶场OWASP Benchmark 编程指南
2301_79325657的博客
09-19 621
现在,我们需要为每个OWASP Benchmark漏洞场景定义相应的路由。在app.py# 获取指定漏洞的信息。
小白学KALI:轻松搭建OWASP BWA网站漏洞靶场
Kali与编程
09-08 557
搭建OWASP BWA漏洞靶场能安全地实践Web安全技能,理解常见漏洞如注入、跨站脚本等。它提供了一个可控环境,让你在不影响真实系统的情况下,学习识别、利用并修复安全问题,提升防护能力。如果你想增强自己的网络安全技能,这是一个理想的实验平台。4、查看靶场IPifconfig。3、开启虚拟机,登录靶场
Benchmark:OWASP Benchmark 是一个测试套件,旨在验证软件漏洞检测工具的速度和准确性。 一个用 Java 编写的完全可运行的 Web 应用程序,它支持通过支持 Java 的静态 (SAST)、动态 (DAST) 和运行时 (IAST) 工具进行分析。 这个想法是,由于它是完全可运行的,并且所有漏洞实际上都是可利用的,因此它对任何类型的漏洞检测工具都是一个公平的测试。 有关此项目的更多详细信息,请参阅 OWASP Benchmark 项目主页
07-24
OWASP 基准 OWASP 基准项目是一个 Java 测试套件,旨在验证漏洞检测工具的速度和准确性。 它是一个完全可运行的开源 Web 应用程序,可以通过任何类型的应用程序安全测试 (AST) 工具进行分析,包括 SAST、DAST(如 )和 IAST 工具。 目的是故意包含在基准中并由基准评分的所有漏洞实际上都是可利用的,因此它对任何类型的应用程序漏洞检测工具都是一个公平的测试。 基准测试还包括用于众多开源和商业 AST 工具的记分卡生成器,并且支持的工具集一直在增长。 项目文档都在 OWASP 站点的项目页面上。 有关所有项目的详细信息,请参阅该站点。 当前的最新版本是 v1.2。 请注意,此处提供的所有版本: : 都是历史版本。 通过简单地克隆或拉取此存储库的头部(即 git pull),最新版本始终可用。
Java 静态代码分析工具-OWASP基准测试测评篇
Mason_Redrocket
06-09 926
一背景 源代码静态分析工具(SAST)作为软件安全的重要保障工具,已经在各个领域被广泛使用。随着开源SAST工具的广泛使用,工具种类的增加,使用者很难判断工具的优劣及适不适合企业的应用场景,本文从金融、互联网企业最常用的Java语言代码分析的角度,对静态分析进行一次简要的测评,为大家选择静态分析工具提供依据,此外,本文分析了目前静态代码分析工具存在的技术问题及工具评估的基本准则。 二概述 一般来说,误报和漏报率是SAST最重要的技术评价指标,但由于没有通用意义上的测试集能够全面反应静态分析...
OWASP Benchmark | OWASP 基准项目镜像方式安装、配置及如何生成SAST和DAST工具的评分报告
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-19 1825
在介绍过OWASP Benchmark后,我们已经知道了OWASP 基准项目的价值,可以用于评估SAST及DAST工具的规则检测能力,在本文将会重点介绍如何用Docker镜像安装配置OWASP Benchmark项目,以便将其应用于SAST/DAST工具的能力评估。
教你从零搭建Web漏洞靶场OWASP Benchmark
华为云官方博客
02-09 4387
摘要:Owasp benchmark 旨在评估安全测试工具的能力(准确率、覆盖度、扫描速度等等),量化安全测试工具的扫描能力,从而更好得比较各个安全工具优缺点。
Web漏洞靶场搭建
MDSEC的博客
08-15 652
前言dockervulhub靶场搭建过程。
精选资源
DVWA靶场,集成了owasp top 10漏洞
03-28
这个靶场集成了OWASP(Open Web Application Security Project)的Top 10漏洞,这些是网络应用中最常见且最具危害性的安全问题。通过在DVWA中实践,用户能够深入理解漏洞的原理,学习如何识别它们,以及如何利用这些...
owasp_benchmark_test
04-16
OWASP基准 OWASP Benchmark Project是一个Java测试套件,旨在验证漏洞检测工具的速度和准确性。 它是一个完全可运行的开源Web应用程序,可以通过任何类型的应用程序安全测试(AST)工具进行分析,包括SAST,DAST(例如 )和IAST工具。 目的是故意将所有故意包含在基准测试中并由基准测试打分的漏洞加以利用,因此,它是对任何类型的应用程序漏洞检测工具的公平测试。 Benchmark还包括用于众多开源和商业AST工具的计分卡生成器,并且所支持的工具集一直在增长。 项目文档全部位于项目页面上的OWASP站点上。 有关所有项目的详细信息,请参考该站点。 当前的最新版本是v1.2。 请注意,此处提供的所有版本: : 都是历史性的。 只需克隆或拉出此存储库的头部(即git pull),即可始终在线获得最新版本。
web靶场搭建
2301_76329510的博客
03-28 1179
安全靶场,即模拟的、用于练习的、已发现、漏洞的攻击对象。未经他人允许,对别人计算机攻击,容易进局子喝茶,前提是被发现。
OWASP Mutillidae II 漏洞靶场实验指导书.pdf
11-20
OWASP Mutillidae II 漏洞靶场实验指导书汇总 OWASP Top 10 应用安全风险-2017 OWASP (Open Web Application Security Project)开放式 Web 应用程序 安全项目,是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有 成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
OWASP Benchmark搭建
TENCENTSYS的博客
04-19 1182
一、简介 OWASP benchmarkOWASP组织下的一个开源项目,又叫作OWASP基准测试项目,它是免费且开放的测试套件。它可以用来评估那些自动化安全扫描工具的速度、覆盖范围和准确性,这样就可以得到这些软件的优点和缺点,还可以对它们进行相互比较。每个版本的OWASP benchmark都包含数千个完全可运行和利用的测试用例,每个测试用例都映射到该漏洞的相应CWE编号,所以该项目的漏洞数量和...
推荐项目:OWASP Benchmark - 安全测试的黄金标准
最新发布
gitblog_00036的博客
12-30 651
**OWASP Benchmark** 是一个专为验证应用安全测试工具性能和准确性而设计的Java测试套件。它是一个可运行的开源Web应用程序,适合任何类型的应用程序安全性测试(AST)工具进行分析,包括SAST、DAST(如OWASP ZAP)和IAST工具。该项目的目标是确保基准中故意包含的所有漏洞都是可利用的,因此对任何类型的漏洞检测工具来说都是一场公正的考验。 ### 2、项目技术分析
记第一次学习搭建web渗透靶场(vulhub)
His_98的博客
11-20 3723
Vulhub搭建,小白学习路程
BurpSuite实战教程01-web渗透安全测试(靶场搭建及常见漏洞攻防)
zzz6583zz的博客
05-09 3494
渗透测试(Penetrationtest)即安全工程师模拟黑客,在合法授权范围内,通过信息搜集、漏洞挖掘、权限提升等行为,对目标对象进行安全测试(或攻击),最终找出安全风险并输出测试报告。Web渗透测试分为白盒测试和黑盒测试,白盒测试是指目标网站的源码等信息的情况下对其渗透,相当于代码分析审计。而黑盒测试则是在对该网站系统信息不知情的情况下渗透。Web渗透分为以下几个步骤,信息收集,漏洞扫描,漏洞利用,提权,内网渗透,留后门,清理痕迹。
OWASP Benchmark | OWASP 基准项目介绍
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-19 2030
市面上的静态代码检测SAST工具越来越多,除了业界比较知名的Coverity、Fortify、CheckMax,还有CodeQL、SonarQube、CppCheck等,国内也涌现了一大波检测工具,如鸿渐SAST、奇安信代码卫士、北大Cobot、酷德啄木鸟等,市场上能叫上名的SAST工具约200+种。不同SAST工具检测能力差异较大,比如支持的扫描规则,扫描规则能力。如何有效衡量这些检测工具规则扫描能力,给企业选型SAST工具提供参考,成为了一项业界难题。
记一次自己搭建内网靶场(非常详细),零基础入门到精通,看这一篇就够了
weixin_51725318的博客
10-18 7286
记一次自己搭建内网靶场(非常详细),零基础入门到精通,看这一篇就够了
利用OWASP Benchmark V1.2基准对国内静态检测工具的测评分析
manok的专栏
07-21 3893
笔者一直从事于软件测试、软件安全方面工作,跟踪国内外软件测试工具的使用和效果。最近笔者接触了CoBOT源代码缺陷检测工具,想验证一下该工具的检测效果,于是下载了OWASP Benchmark 1.2基准测评项目,通过CoBOT官网联系试用工具,看看这款工具到底如何。 OWASP BenchmarkOWASP(Open Web Application Securi...
OWASP Juice-Shop靶场()
sgdhshshhs的博客
05-13 575
有三个提示内容,翻译过来大概是让找到Score Board,通过url来访问它。点击这里的文件去查看内容,发现acquisitons.md里面有机密文件。利用题目所给的注入语句在页面的搜索框中输入即可。当没有点击评分时这里会有两个字段,将他们删除。同样利用题目所给出的payload解决。运行OWASP Juice Shop。发现不需要重复输入密码就可以登录。首先利用docker拉取该资源。我们之间在开发者模式下查找。在关于我们这里点击这段链接。将图片的路径进行url编码。docker重启该项目。
OWASP Mutillidae II 漏洞靶场实验指南
OWASP Mutillidae II是一个开放源码的网络应用漏洞靶场,它提供了一个用于测试和学习安全漏洞的环境,特别是针对Web应用程序的安全性。该靶场使用PHP编写,并且可以运行在各种操作系统上,包括Windows、Linux和Mac ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值