为了学习web安全,需要搭建一个用来攻击的靶机,OWASP,Open Web Application Security Project, 提供了许多用于学习安全学习的项目。
这里使用The Broken Web Applications (BWA) Project, 提供一个虚拟机的克隆,包含了含有漏洞的网站,可以使用vmware workstation 打开。此项目的优点是,直接提供了虚拟机的克隆,可以直接打开,无需复杂的配置。
BWA下载地址:https://sourceforge.net/projects/owaspbwa/files/
BWA项目源代码:https://github.com/chuckfw/owaspbwa/
下载得到一个7z的压缩包,解压后得到如下的文件:
下载vmware:https://my.vmware.com/web/vmware/downloads/
双击打开OWASP Broken Web Apps.vmx
点击开启虚拟机,就算部署完成了。
需要注意的是,由于我们虚拟机开放的靶机安全性较差,为了不影响其他主机,虚拟机的配置上,网络适配器请选择NAT模式。
点击编辑虚拟机设置,弹出如下的画面:
默认的网络适配器为NAT模式,不要改变。
启动虚拟机以后,按照提示的用户名和密码,进入系统(用户名为root, 密码owaspbwa)
这样就进入了控制台。
输入命令:
ip a
可以查看虚拟机的IP地址,我这里是192.168.85.128
在浏览器中输入这个IP地址,就可以登陆到系统中了
可以看到很多项目可以选择。到了这一步,我们的靶机就算搭建完成了。