합법적으로 해킹을 연습하는 8가지 취약한 웹 애플리케이션

게시 됨: 2021-10-19

윤리적 해킹 기술에 대한 자신감을 향상시키는 데는 테스트하는 것보다 더 좋은 방법은 없습니다.

윤리적인 해커와 침투 테스터가 자신의 능력을 합법적으로 테스트하는 것은 어려울 수 있습니다. 따라서 웹사이트가 안전하지 않고 해킹 기술을 테스트할 수 있는 안전한 환경을 제공하도록 설계하는 것은 스스로 도전을 지속할 수 있는 환상적인 방법입니다.

안전하지 않고 안전한 해킹 환경을 제공하도록 설계된 웹 사이트 및 웹 앱은 학습을 위한 이상적인 근거입니다. 새로운 해커는 취약점을 찾는 방법을 배울 수 있고 보안 전문가와 버그 현상금 사냥꾼은 전문성을 높이고 다른 새로운 취약점을 찾을 수 있습니다.

취약한 웹 앱 사용

테스트를 위해 의도적으로 만든 취약한 웹사이트와 웹 앱을 활용하면 법을 준수하면서 합법적으로 테스트를 수행할 수 있는 안전한 환경을 제공합니다. 이러한 방식으로 체포로 이어질 수 있는 위험한 영역에 들어가지 않고 해킹할 수 있습니다.

이러한 응용 프로그램은 보안 애호가가 정보 보안 및 침투 테스트 능력을 배우고 연마하는 데 도움이 되도록 설계되었습니다.

이 기사에서는 의도적으로 안전하지 않게 설계된 여러 유형의 앱을 나열했습니다. 흔히 "젠장 취약"이라고 합니다.

버그가 있는 웹 애플리케이션

BWAPP라고도 하는 Buggy Web Application은 무료 오픈 소스 도구입니다. MySQL 데이터베이스를 백엔드로 사용하는 PHP 애플리케이션입니다. 이 Bwapp에는 작업을 준비하거나 윤리적인 해킹 능력을 표준으로 유지하려는 경우에 작업할 수 있는 100개 이상의 버그가 있습니다. 여기에는 모든 주요(그리고 가장 널리 퍼진) 보안 결함이 포함됩니다.

bwapp

OWASP Top 10 프로젝트에서 파생된 이 도구에는 100개 이상의 온라인 애플리케이션 취약성 및 결함이 포함되어 있습니다. 다음은 몇 가지 결함입니다.

  • XSS(교차 사이트 스크립팅) 및 CSRF(교차 사이트 요청 위조)
  • DoS(서비스 거부) 공격
  • 중간자 공격
  • SSRF(서버 측 요청 위조)
  • SQL, OS Command, HTML, PHP, SMTP 인젝션 등

이 웹 응용 프로그램은 합법적인 윤리적 해킹 및 침투 테스트를 수행하는 데 도움이 됩니다.

여기를 클릭하면 이 bwapp을 쉽게 다운로드할 수 있습니다.

젠장 취약한 웹 애플리케이션

DVWA로 알려진 Damn Vulnerable Web Application은 PHP와 MySQL로 개발되었습니다. 보안 전문가와 윤리적인 해커가 다른 사람의 시스템을 법적으로 손상시키지 않고 기술을 테스트할 수 있도록 의도적으로 취약한 상태로 두었습니다. DVWA를 실행하려면 웹 서버, PHP 및 MySQL이 설치되어 있어야 합니다. 웹 서버가 아직 설정되지 않은 경우 DVWA를 설치하는 가장 빠른 방법은 'XAMPP'를 다운로드하여 설치하는 것입니다. XAMPP는 여기에서 다운로드할 수 있습니다.

dvwa

이 망할 취약한 웹 앱은 테스트할 몇 가지 취약점을 제공합니다.

  • 무차별 대입
  • 명령 실행
  • CSRF 및 파일 포함
  • XSS 및 SQL 주입
  • 안전하지 않은 파일 업로드

DVWA의 주요 장점은 보안 수준을 설정하여 각 취약점에 대한 테스트를 연습할 수 있다는 것입니다. 각 보안 수준에는 고유한 인재가 필요합니다. 보안 연구원은 소스 코드를 공개하기로 한 개발자의 결정 덕분에 백엔드에서 무슨 일이 일어나고 있는지 조사할 수 있습니다. 이것은 연구자들이 이러한 문제에 대해 배우고 다른 사람들이 이에 대해 배우는 데 도움을 주기에 매우 좋습니다.

구글 그뤼에르

'치즈'와 '해킹'이라는 단어가 함께 사용되는 것을 자주 볼 수 없지만 이 웹사이트는 마치 맛있는 치즈처럼 구멍이 가득합니다. Gruyere는 취약점을 찾아 악용하는 방법과 이에 맞서 싸우는 방법을 배우려는 초보자에게 탁월한 선택입니다. 또한 "치즈" 코딩을 사용하며 전체 디자인은 치즈를 기반으로 합니다.

그뤼 에르
이미지 출처 : 구글 그뤼에르

일을 더 쉽게 하기 위해 Python으로 작성되었으며 취약점 종류별로 분류되었습니다. 그들은 각 작업에 대해 블랙박스 또는 화이트박스 해킹(또는 두 기술의 조합)을 사용하여 찾고, 악용하고, 식별할 취약점에 대한 간략한 설명을 제공합니다. 그 중 일부는 다음과 같습니다.

  • 정보 공개
  • SQL 주입
  • 사이트 간 요청 위조
  • 서비스 거부 공격

약간의 사전 지식이 필요하지만 이것은 초보자에게 가장 좋은 옵션입니다.

웹염소

이 목록에는 다른 OWASP 항목과 가장 인기 있는 항목이 포함되어 있습니다. WebGoat는 일반적인 서버 측 응용 프로그램 문제에 대해 배우는 데 사용할 수 있는 안전하지 않은 프로그램입니다. 응용 프로그램 보안에 대해 배우고 침투 테스트 기술을 연습하는 데 도움을 주기 위한 것입니다.

각 수업을 통해 특정 보안 결함에 대해 학습한 다음 앱에서 이를 공격할 수 있습니다.

웹염소1

Webgoat에 포함된 취약점 중 일부는 다음과 같습니다.

  • 버퍼 오버플로
  • 부적절한 오류 처리
  • 사출 결함
  • 안전하지 않은 통신 및 구성
  • 세션 관리 결함
  • 매개변수 변조

메타스플로이터블 2

보안 연구원들 사이에서 Metasploitable 2는 가장 일반적으로 악용되는 온라인 애플리케이션입니다. Metasploit 및 Nmap과 같은 고급 도구를 사용하여 보안 애호가가 이 애플리케이션을 테스트할 수 있습니다.

이 취약한 애플리케이션의 주요 목적은 네트워크 테스트입니다. 보안 연구원이 보안 결함을 발견하는 데 사용하는 저명한 Metasploit 프로그램을 모델로 했습니다. 이 프로그램의 쉘을 찾을 수도 있습니다. WebDAV, phpMyAdmin 및 DVWA는 모두 이 응용 프로그램에 내장된 기능입니다.

메타스플로이터블2

응용 프로그램의 GUI를 찾지 못할 수도 있지만 여전히 터미널이나 명령줄을 통해 수많은 도구를 사용하여 이를 악용할 수 있습니다. 무엇보다도 포트, 서비스 및 서비스 버전을 볼 수 있습니다. 이것은 Metasploit 도구를 배우는 능력을 평가하는 데 도움이 될 것입니다.

젠장 취약한 iOS 앱

DVIA는 모바일 보안 애호가, 전문가 및 개발자가 침투 테스트를 연습할 수 있는 iOS 프로그램입니다. 최근에 다시 릴리스되었으며 이제 GitHub에서 무료로 사용할 수 있습니다.

dvia1

OWASP Top 10 모바일 위험에 이어 DVIA에는 일반적인 iOS 앱 취약점이 포함되어 있습니다. Swift로 개발되었으며 모든 취약점은 iOS 11까지 테스트되었습니다. 사용하려면 Xcode가 필요합니다.

DVIA에서 사용할 수 있는 일부 기능은 다음과 같습니다.

  • 탈옥 감지
  • 피싱
  • 깨진 암호화
  • 런타임 조작
  • 애플리케이션 패치
  • 바이너리 패치

OWASP Mutillidae II

Mutillidae II는 OWASP에서 개발한 오픈 소스 및 무료 프로그램입니다. 사용하기 쉬운 온라인 해킹 환경을 제공하기 때문에 많은 보안 마니아들이 활용하고 있습니다. 다양한 취약점과 사용자가 취약점을 악용하는 데 도움이 되는 권장 사항을 제공합니다. 이 웹 응용 프로그램은 침투 테스트 또는 해킹이 취미인 경우 자신의 능력을 연마하기 위한 것입니다.

여기에는 클릭재킹 및 인증 우회 등을 포함하여 테스트할 다양한 취약점이 포함되어 있습니다. 취약점 섹션에는 추가 대안을 제공하는 하위 범주도 포함되어 있습니다.

별과2

시스템에 XAMPP를 설치해야 합니다. 그러나 Mutillidae에는 XAMPP가 포함됩니다. 보안 모드와 비보안 모드 간 전환도 가능합니다. Mutillidae는 필요한 모든 것을 포함하는 완전한 실험실 환경입니다.

웹 보안 도장

WSD는 Burp Suite 및 ratproxy와 같은 다양한 도구와 대상 시스템(예: WebGoat)을 포함하는 가상 시스템입니다. Ubuntu 12.04 운영 체제를 기반으로 하는 오픈 소스 교육 환경입니다. 일부 목표의 경우 교육 자료와 사용자 가이드도 포함되어 있습니다.

그것을 사용하기 위해 다른 도구를 실행할 필요가 없습니다. 이 VM만 있으면 됩니다. 처음에 VirtualBox 5(또는 그 이상)를 설치하고 실행해야 하거나 대신 VMware를 사용할 수 있습니다. 그런 다음 ova 파일을 VirtualBox/VMware로 가져오면 완료됩니다. 다른 Ubuntu OS와 동일한 느낌을 갖게 됩니다.

이 VM은 초보자와 전문가, 취약점에 대해 가르치고 싶은 교사의 자가 학습 및 학습에 이상적입니다.

결론

정보 보안의 전문 영역에 들어가기 전에 안전하지 않은 애플리케이션에 대한 실무 경험이 있어야 합니다. 능력 개발에 도움이 됩니다.

또한 취약한 영역을 식별하고 연습하는 데 도움이 됩니다. 특수 제작된 애플리케이션에서 윤리적 해킹을 연습하면 해킹 능력과 보안 영역에서 자신의 위치를 ​​더 잘 이해할 수 있습니다. 정보를 공유하는 것이 좋습니다. 이러한 웹 응용 프로그램을 사용하여 일반적인 웹 응용 프로그램 결함을 찾는 방법을 다른 사람에게 보여줄 수 있습니다.