TIWAP：一個包含大量漏洞的Web應(yīng)用滲透測試學(xué)習(xí)工具

關(guān)于TIWAP

TIWAP是一款包含大量漏洞的Web應(yīng)用滲透測試學(xué)習(xí)工具，同時也開始一個Web安全測試平臺，該工具基于Python和Flask實現(xiàn)其功能，可以幫助一些信息安全愛好者或測試人員學(xué)習(xí)和了解各種類型的Web安全漏洞。該工具的靈感來源于DVWA，開發(fā)者已經(jīng)盡大努力重新生成了各種Web漏洞。

該工具僅用于教育目的，我們強烈建議廣大用戶在虛擬機上安裝和使用TIWAP，而不要將其安裝在內(nèi)部或外部服務(wù)器中。

工具安裝&配置

為了幫助廣大用戶輕松快捷地安裝和使用TIWAP，我們已經(jīng)幫助大家完成了項目的配置哦工作，我們只需要在本地系統(tǒng)上安裝好Docker即可。

安裝好Docker之后，我們就可以運行下列命令來下載和安裝TIWAP了： git clone https://github.com/tombstoneghost/TIWAP cd TIWAP

docker-compose up

注意：這種工具安裝方式僅支持在Linux平臺上使用，針對Windows平臺的兼容問題現(xiàn)在正在解決中。

實驗環(huán)境啟動之后，我們就可以使用默認憑證進行登錄了：

用戶名：admin 密碼：admin 工具技術(shù)棧 前端：HTML、CSS和JavaScript 后端：Python - Flask 數(shù)據(jù)庫：SQLite3和MongoDB 漏洞信息 當前版本的TIWAP實驗環(huán)境中包含了二十種安全漏洞，具體如下所示： SQL注入 Blind SQL注入 NoSQL注入 Command注入 業(yè)務(wù)邏輯漏洞 敏感數(shù)據(jù)泄露 XML外部實體 安全錯誤配置 反射型XSS 存儲型XSS 基于DOM的XSS HTML注入 不安全的證書驗證 硬編碼Credentials 不安全的文件上傳 暴力破解 目錄遍歷 跨站請求偽造(CSRF) 服務(wù)器端請求偽造(SSRF) 服務(wù)器端模板注入(SSTI)

其中，每一種漏洞都提供了三種等級的漏洞利用難度，即低級Low、中級Medium和困難Hard，我們可以根據(jù)自己的需求在設(shè)置頁面中進行相應(yīng)的配置。

許可證協(xié)議

本項目的開發(fā)與發(fā)布遵循MIT開源許可證協(xié)議。

當前標題：TIWAP：一個包含大量漏洞的Web應(yīng)用滲透測試學(xué)習(xí)工具
轉(zhuǎn)載源于：http://www.muchs.cn/news18/203568.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供關(guān)鍵詞優(yōu)化、網(wǎng)站排名、微信公眾號、外貿(mào)網(wǎng)站建設(shè)、響應(yīng)式網(wǎng)站、網(wǎng)站設(shè)計

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)