OWASP hakcing-lab 是一个提供免费的远程安全(Web)挑战和 OWASP TOP 10,OWASP WebGoat,OWASP Hackademics ,和其他易受攻击的应用程序的网站。网站有着独特的教师应用程序。每个挑战都是要求弱点、利用、缓解。你可以发送您的方案给OWASP教师评分。
一、注册账号
访问:www.hacking-lab.com,选择sign up , 输入对应的邮箱和密码即可完成注册。
二、下载环境
这是一个在线的漏洞环境,需要搭建虚拟机安装对应的虚拟机包,然后挂载VPN才可以创建实验的。
下载链接:https://media.hacking-lab.com/installation/vmware/
三、使用过程
1、下载完成后打开虚拟机,右键左上角的VPN图标,选择connect hacking-lab。
2、输入对应的你之前注册的账号密码即可完成链接,当VPN变成绿色时就代表链接成功。
3、在虚拟机中打开www.hacking-lab.com ,登录自己的账号,点开Security Events可以看到有这些实验,我们尝试做一下owasp top ten里面的实验
4、我们点开以后可以看到任务列表,我们查看一下A4实验
5、看到点进去任务的要求,有4个部分要注意
introduction(任务介绍)
Requirements(要求)
Goal(目标)
Security Questions(安全问题)
我们可以点击灰色的链接 Vulnerable Hacking-Lab Application 进入实验。
然后在做的过程中提交writeup需要有三个部分
1、解释安全问题
2、解释你的攻击。(利用,截图,黑客日记)
3、解释缓解(补救)
提交方案的地址在每个题目的下方,记住writeup里面的内容不能带有中文,要不然老外会说,你这写的是什么东西?提交后会过一段时间等待审核,审核成功以后会有邮件提醒。
hacking-lab相对于其他漏洞环境来说,自由度更高一些,有点像学生交作业,老师打分评比这种感觉。大多数平台里面的老师都是老外,所以在提交writeup的时候一定要用英文。在审核的过程里,老师都会给你一些建议,既能提升自己的渗透,还能提高自己写文档的能力。
这里面还有很多漏洞环境,偶尔会有CTF比赛。
*本文作者:Rogerd