色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

Web漏洞靶場搭建(OWASP Benchmark)

禿頭也愛科技 ? 來源:禿頭也愛科技 ? 作者:禿頭也愛科技 ? 2022-10-13 15:47 ? 次閱讀

Benchmark)

滲透測試切記紙上談兵,學習滲透測試知識的過程中,我們通常需要一個包含漏洞的測試環境來進行訓練。而在非授權情況下,對于網站進行滲透測試攻擊,是觸及法律法規的,所以我們常常需要自己搭建一個漏洞靶場,避免直接對公網非授權目標進行測試。

漏洞靶場,不僅可以幫助我們鍛煉滲透測試能力、可以幫助我們分析漏洞形成機理、更可以學習如何修復提高代碼能力,同時也可以幫助我們檢測各種各樣漏洞掃描器的效果

本次靶場選擇 OWASP Benchmark | OWASP Foundation 靶場。Owasp benchmark 旨在評估安全測試工具的能力(準確率、覆蓋度、掃描速度等等),量化安全測試工具的掃描能力,從而更好得比較各個安全工具優缺點。

測試用例

目前 v1.2 版本包含了近3000個漏洞,覆蓋常見的SQL注入、命令注入、路徑遍歷、XSS,以及眾多安全編碼類的問題

IMG_256

每個漏洞包含多種漏洞場景,對于命令注入來說,可以校驗測試工具在:

  • 多種注入位置:param/data/form-data/json/mut/header/cookie/
  • 多種調用場景:ProcessBuilder/RuntimeExec
  • 不同拼接方式:可控變量作為獨立的命令拼接、僅作為ls/echo 的參數
  • 復雜業務流程: if/else/switch 導致無法進入漏洞位置(假漏洞場景)
    等等場景下的表現。

評分標準

Benchmark 可以根據測試工具的掃描報告為測試工具進行評分。Benchmark靶場的所有漏洞信息儲存在BenchmarkJava/expectedresults-1.2.csv at master · OWASP-Benchmark/BenchmarkJava ,此文件用于標識每個場景下的漏洞信息。Benchmark解析測試工具的掃描報告再與預期結果進行對比,從而為每個工具進行打分。

對于測試工具來說,我們期望他能夠

  • 發現所有的真正是問題的漏洞 即 True Positive,TP指數,檢出率盡可能高
  • 能夠忽略所有非問題的漏洞 即False Positive,FP指數,誤報率盡可能低,Benchmark 將以TP,FP為坐標軸繪制一張圖,當點越靠近左上方時,認為測試功能能力更優。

IMG_257

Benchmark最后得分參考約登指數給出,用以下公式計算分值,得分越靠近 11 表明測試工具能力越強。

Sensitivity+Specificity-1=TP+(1-FP)-1=TP-FP*Sensitivity*+*Specificity*?1=*TP*+(1?*FP*)?1=*TP*?*FP*

掃描報告解析

Benchmark目前支持大部分主流測試工具,詳見 OWASP Benchmark | OWASP Foundation 頁面。

當評估測試工具時,可以自行擴展 OWASP-Benchmark/BenchmarkUtils: OWASP Benchmark Project Utilities - Provides scorecard generation and crawling tools for Benchmark style test suites. 中的 org.owasp.benchmarkutils.score.parsers.Reader 類

  • 重寫 parse方法:用于解析報告內容
  • 重寫canRead 方法:用于判斷解析哪種報告文件

解析報告中的 url/cwe 等關鍵信息,實現自動打分。

Demo

package org.owasp.benchmark.score.parsers;  
  import org.dom4j.Document;  import org.dom4j.Element;  import org.dom4j.io.SAXReader;  
  import java.io.File;  import java.util.List;  import java.util.regex.Matcher;  import java.util.regex.Pattern;  
  public class SecScanReader extends Reader {  
    private static final String NUMBER_PATTERN = "BenchmarkTest(\\d+)";  
    private static Pattern pattern;  
  
    public SecScanReader() {  
        pattern = Pattern.compile(NUMBER_PATTERN);  
    }  

	public boolean canRead(ResultFile resultFile) {
		return resultFile.filename().endsWith(".xml") && resultFile.xmlRootNodeName().equals("XXXXXX");
	}

    public TestResults parse(File file) throws Exception {  
        TestResults tr = new TestResults("XXXXXX", true, TestResults.ToolType.DAST);  
        for (Object obj : issues) {  
			// .....
			TestCaseResult tcr = new TestCaseResult();  
			tcr.setCategory("XSS");  
			tcr.setCWE(cweLookup(13));
			tcr.setNumber(0001);
            tr.put(tcr);  
        }  
        return tr;  
    }  
  
    public static int cweLookup(String pluginId) {  
        switch (pluginId) {  
            default: return 0;  
        }  
    }  
}

生成評分報告

$  mvn validate -Pbenchmarkscore -Dexec.args="expectedresults-1.2.csv results"

部署運行

$ git clone https://github.com/OWASP-Benchmark/BenchmarkJava
$ cd benchmark
$ mvn compile   (This compiles it)
$ runRemoteAccessibleBenchmark.sh/.bat - This compiles and runs it.

runRemoteAccessibleBenchmark 腳本用于開啟可被遠程訪問的Benchmark Web應用。

審核編輯:湯梓紅

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • Web
    Web
    +關注

    關注

    2

    文章

    1262

    瀏覽量

    69441
  • SQL
    SQL
    +關注

    關注

    1

    文章

    762

    瀏覽量

    44117
  • 代碼
    +關注

    關注

    30

    文章

    4780

    瀏覽量

    68530
收藏 人收藏

    評論

    相關推薦

    快速搭建嵌入式Web服務器

    快速搭建嵌入式Web服務器
    發表于 08-02 00:08

    web滲透的測試流程

    ,進行漏洞探測環節。探測網站是否存在一些常見的Web漏洞  步驟:  1.用掃描工具:awvs,IBM appscan、Owasp-Zap、Nessus等。PS:掃描器可能會對網站構成
    發表于 01-29 17:27

    怎么設計一款基于滲透性測試的Web漏洞掃描系統?

    Web漏洞掃描原理是什么?怎么設計一款基于滲透性測試的Web漏洞掃描系統?
    發表于 05-10 06:07

    ATTO Disk Benchmark 下載

    ATTO Disk Benchmark
    發表于 03-21 21:24 ?39次下載
    ATTO Disk <b class='flag-5'>Benchmark</b> 下載

    漏洞發現與解決方案

    隨著web應用的日益增多,如電子商務,交流論壇,公司網站等等都使用web作為應用的平臺,如何保證web應用的安全性也成為當前日益重要、必須解決的問題。 WEB服務器存在的主要
    發表于 04-06 00:18 ?18次下載

    教你linux搭建web服務器

    教你linux搭建web服務器和大家分享了一份配置文檔,希望對您用linux搭建web服務器有所啟發。
    發表于 12-28 14:18 ?8865次閱讀

    基于Scrapy的爬蟲框架的Web應用程序漏洞檢測方法

    隨著Web應用不斷的發展,隨之而產生的包括XSS在內的各種安全漏洞也越來越多。今天,XSS傳統防御技術的缺陷已經越來越多地顯現,例如防御種類單一、防御強度低、防御手段落后等,這就迫切需要
    發表于 12-07 09:48 ?2次下載
    基于Scrapy的爬蟲框架的<b class='flag-5'>Web</b>應用程序<b class='flag-5'>漏洞</b>檢測方法

    WEB測試環境搭建和測試方法

    本文主要講述了web應用系統的搭建測試環境和web測試方法,在測試過程中,有的僅需要手動測試的,有的需要自動化測試工具的幫助,所以web系統的測試要求測試人員有很深的自動化測試技術。
    的頭像 發表于 01-31 17:07 ?1.9w次閱讀

    搭建測試環境常用linux命令_linux下web測試環境的搭建

    本文主要介紹的是搭建測試環境常用的一些linux命令以及linux下web測試環境的搭建
    的頭像 發表于 01-31 18:41 ?1.2w次閱讀
    <b class='flag-5'>搭建</b>測試環境常用linux命令_linux下<b class='flag-5'>web</b>測試環境的<b class='flag-5'>搭建</b>

    德國油罐監控設備存在嚴重漏洞 黑客易訪問基于web的配置界面

    一家德國的油罐測量系統制造商的部分產品存在嚴重漏洞,黑客易訪問基于web的配置界面。
    的頭像 發表于 06-14 14:42 ?2107次閱讀

    目前常見的五種物聯網應用類型 需要警惕的10大物聯網風險

    根據2018年開放式Web應用程序安全項目(OWASP)IoT Top 10,以下是10大物聯網漏洞
    發表于 05-10 12:08 ?3416次閱讀

    linux如何搭建web服務器

    linux搭建web服務器流程如下
    發表于 06-08 09:09 ?9242次閱讀
    linux如何<b class='flag-5'>搭建</b><b class='flag-5'>web</b>服務器

    檢測驗證Java Web程序的SQLIA漏洞解決方法

    SQLA漏洞破壞Web后臺數據庫的完整性,-直是Web應用安全的主要威脅。提出一種檢測和驗證ava Web程序的 SQLIA漏洞的解決方案,
    發表于 04-02 16:05 ?19次下載
    檢測驗證Java <b class='flag-5'>Web</b>程序的SQLIA<b class='flag-5'>漏洞</b>解決方法

    Web漏洞靶場搭建-wavsep

    滲透測試切記紙上談兵,學習滲透測試知識的過程中,我們通常需要一個包含漏洞的測試環境來進行訓練。而在非授權情況下,對于網站進行滲透測試攻擊,是觸及法律法規的,所以我們常常需要自己搭建一個漏洞靶場
    的頭像 發表于 10-13 15:35 ?1085次閱讀

    【Tools】漏洞掃描工具DongTai

    DongTai是一款交互式應用安全測試(IAST)產品,支持檢測OWASP WEB TOP 10漏洞、多請求相關漏洞(包括邏輯漏洞、未授權訪
    的頭像 發表于 11-25 10:35 ?815次閱讀
    主站蜘蛛池模板: 一道本无吗d d在线播放| 午夜影院美女| 天天爽夜夜爽| 亚洲AV成人无码网天堂| 又黄又肉到湿的爽文| 99热这里只有精品视频2| 国产激情一级毛片久久久| 国产精品JIZZ在线观看A片| 久久99亚洲热最新地址获取| 美女露100%全身无遮挡| 我年轻漂亮的继坶2中字在线播放| 亚洲免费在线视频| xxxxxx视频| 精品国产成人AV在线看| 破女在线观看视频| 一个人在线观看免费高清视频在线观看 | 草莓国产视频免费观看| 含羞草影院免费区| 青娱乐在线一区| 《乳色吐息》无删减版在线观看 | 午夜影院一区二区三区| 99久久99久久久精品齐齐鬼色| 国产免国产免费| 全黄h全肉细节文在线观看| 亚洲欧洲日韩天堂无吗| 穿着丝袜被男生强行啪啪| 另类重口bdsm日本tv| 亚洲国产系列一区二区三区| 成人免费在线| 麻豆AV久久AV盛宴AV| 亚洲伊人久久大香线蕉综合图片 | 成品片a免人看免费| 免费看黄软件| 在线AV国产传媒18精品免费| 国产亚洲精品字幕在线观看| 十分钟免费观看高清视频大全| 99久久全国免费久久爱| 巨乳中文无码亚洲| 这里只有精品在线视频| 久久精品国产亚洲AV天美18| 爱情岛论坛网亚洲品质|