Tutoriales

Proyecto de aplicación web completamente inseguro !!! Kali Linux

TIWAP es un laboratorio de pruebas de seguridad web desarrollado con Flask para que los entusiastas de la seguridad en ciernes aprendan sobre diversas vulnerabilidades web. Inspirados por DVWA, los colaboradores hicieron todo lo posible para regenerar varias vulnerabilidades web.

La aplicación es solo para fines educativos y para aprender a piratear la web en un entorno legal.

Configuración e instalación

Para facilitar la instalación y la configuración, hemos configurado todo para usted. Todo lo que necesita es Docker en su sistema.

Cuando haya terminado con la instalación de Docker, ejecute los siguientes comandos.

clon de git https://github.com/tombstoneghost/TIWAP
CD TIWAP
docker-componer

Nota: solo funciona en Linux por el momento, y la compatibilidad con Windows es un trabajo en progreso

Una vez que el laboratorio ha comenzado, puede iniciar sesión con la información de inicio de sesión predeterminada.
Nombre de usuario: admin
Contraseña: admin

Pila de tecnología

Frontend: HTML, CSS y JavaScript
Back-end: Python – Frasco
Bases de datos: SQLite3 y MongoDB

Puntos débiles

Actualmente tenemos 20 vulnerabilidades de seguridad en el laboratorio. Todos enumerados a continuación:

  • inyección SQL
  • Inyección SQL ciega
  • Inyección NoSQL
  • Inyección de comando
  • Error de lógica empresarial
  • Divulgación de información sensible
  • Entidades XML externas
  • Configuración incorrecta de seguridad
  • XSS reflejado
  • XSS guardado
  • XSS basado en DOM
  • Inyección HTML
  • Validación de certificado incorrecta
  • Credenciales codificadas
  • Carga de archivo insegura
  • Fuerza bruta
  • Cruce de directorio
  • Falsificación de solicitud entre sitios (CSRF)
  • Falsificación de solicitudes del lado del servidor (SSRF)
  • Inyección de plantillas del lado del servidor (SSTI)

Cada vulnerabilidad tiene 3 niveles de dificultad, a saber, baja, media y difícil. Estos niveles se pueden configurar en la página de configuración.

LEER  SSLyze - Encuentra configuraciones incorrectas en SSL

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba