OWASP Juice Shop:专用于安全技能训练的OWASP靶场(含演示视频)

2017-11-29 202574人围观 ,发现 2 个不明物体 工具

今天给大家介绍的是OWASP Juice Shop,这是一款包含多种热门安全漏洞的Web应用程序,该应用完全基于JavaScript实现,它涵盖了OWASP Top10中的所有安全漏洞以及很多其他类型的严重漏洞。

a1.png

项目下载

GitHub

官方主页

工具介绍

OWASP Juice Shop采用Node.js、Express和AngularJS开发,而它也是OWASPVWA目录s中第一个完全采用JavaScript开发的应用程序。

OWASP Juice Shop包含了47种以上不同难度的黑客挑战关卡,用户需要想办法利用底层漏洞才可顺利完成挑战。入侵过程会在计分板上进行实时记录,而寻找计分板也同样是一个挑战(难度不大)。

注意,本项目的缩写“JS”(Juice Shop)与“JavaScript”(JS)的缩写雷同,这纯属巧合!

OWASP Juice Shop的优势

1.      安装简单:可选择node.jsDockerVagrant在Windows/Mac/Linux平台上运行;

2.      独立运行:依赖组件已预先封装好,额外组件可自动下载安装;

3.      自我恢复:SQLite数据库弱被擦除,可在服务器每次启动时自动恢复;

4.      游戏性:当你通过了一个挑战关卡之后,程序会通知用户,并在计分板上对用户的成功攻击进行记录;

5.      CTF支持:挑战关卡允许自定义Flag代码

6.      品牌自定义:允许用户对应用进行品牌修改以支持商务应用;

7.      免费&开源:该项目遵循MIT开源许可证协议

应用程序架构

a2.png

介绍视频

下面这个视频会对OWASP Juice Shop进行简单的介绍,并给大家演示如何对其进行“攻击”。

视频地址:https://youtu.be/62Mj0ZgZvXc

工具安装

1.      安装node.js

2.      运行命令(或手动克隆项目):

git clone https://github.com/bkimminich/juice-shop.git

3.使用下列命令进入项目目录:

cd juice-shop

4.      运行下列命令:

npm install
npm start

5.      在浏览器中访问http://localhost:3000

如需了解其他安装方法,请访问该项目的GitHub主页

自定义

用户可通过/config中的YAML配置文件来对OWASP Juice Shop的内容进行自定义修改。具体的自定义教程请参考我们给出的演示样例【传送门】。

CTF扩展

如果你想要以CTF夺旗赛的形式来运行OWASP Juice Shop,我们建议你使用官方提供的juice-shop-ctf-cli工具来搭建一台CTFd服务器。具体的配置方法请参考官方教程中的CTF相关章节

官方教程

该项目给广大用户提供了一份官方教程,用户可以根据教程一步一步完成关卡的挑战。

a3.jpg

LeanPub(支持PDF、Kindle和ePub格式):【下载地址

GitBook(免费,还在开发中,支持HTML、PDF、Kindle和ePub格式):【下载地址

* 参考来源:juice-shop,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

这些评论亮了

发表评论

已有 2 条评论

取消
Loading...
css.php