2022-10-08 分類: 網(wǎng)站建設(shè)
關(guān)于TIWAP
TIWAP是一款包含大量漏洞的Web應(yīng)用滲透測(cè)試學(xué)習(xí)工具,同時(shí)也開始一個(gè)Web安全測(cè)試平臺(tái),該工具基于Python和Flask實(shí)現(xiàn)其功能,可以幫助一些信息安全愛好者或測(cè)試人員學(xué)習(xí)和了解各種類型的Web安全漏洞。該工具的靈感來源于DVWA,開發(fā)者已經(jīng)盡大努力重新生成了各種Web漏洞。
該工具僅用于教育目的,我們強(qiáng)烈建議廣大用戶在虛擬機(jī)上安裝和使用TIWAP,而不要將其安裝在內(nèi)部或外部服務(wù)器中。
工具安裝&配置
為了幫助廣大用戶輕松快捷地安裝和使用TIWAP,我們已經(jīng)幫助大家完成了項(xiàng)目的配置哦工作,我們只需要在本地系統(tǒng)上安裝好Docker即可。
安裝好Docker之后,我們就可以運(yùn)行下列命令來下載和安裝TIWAP了: git clone https://github.com/tombstoneghost/TIWAP cd TIWAPdocker-compose up
注意:這種工具安裝方式僅支持在Linux平臺(tái)上使用,針對(duì)Windows平臺(tái)的兼容問題現(xiàn)在正在解決中。
實(shí)驗(yàn)環(huán)境啟動(dòng)之后,我們就可以使用默認(rèn)憑證進(jìn)行登錄了:用戶名:admin 密碼:admin 工具技術(shù)棧 前端:HTML、CSS和JavaScript 后端:Python - Flask 數(shù)據(jù)庫:SQLite3和MongoDB 漏洞信息 當(dāng)前版本的TIWAP實(shí)驗(yàn)環(huán)境中包含了二十種安全漏洞,具體如下所示: SQL注入 Blind SQL注入 NoSQL注入 Command注入 業(yè)務(wù)邏輯漏洞 敏感數(shù)據(jù)泄露 XML外部實(shí)體 安全錯(cuò)誤配置 反射型XSS 存儲(chǔ)型XSS 基于DOM的XSS HTML注入 不安全的證書驗(yàn)證 硬編碼Credentials 不安全的文件上傳 暴力破解 目錄遍歷 跨站請(qǐng)求偽造(CSRF) 服務(wù)器端請(qǐng)求偽造(SSRF) 服務(wù)器端模板注入(SSTI)
其中,每一種漏洞都提供了三種等級(jí)的漏洞利用難度,即低級(jí)Low、中級(jí)Medium和困難Hard,我們可以根據(jù)自己的需求在設(shè)置頁面中進(jìn)行相應(yīng)的配置。許可證協(xié)議
本項(xiàng)目的開發(fā)與發(fā)布遵循MIT開源許可證協(xié)議。
分享題目:TIWAP:一個(gè)包含大量漏洞的Web應(yīng)用滲透測(cè)試學(xué)習(xí)工具
文章網(wǎng)址:http://jinyejixie.com/news/203568.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站設(shè)計(jì)公司、小程序開發(fā)、網(wǎng)站導(dǎo)航、微信公眾號(hào)、App開發(fā)、營(yíng)銷型網(wǎng)站建設(shè)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容