Название: «Хакинг DVWA. Полное прохождение»
Автор: Михаил Тарасов (Timcore)
Объем: 303 стр.

Введение.

Здравствуйте, дорогие читатели. Рад приветствовать Вас на страницах данной книги. Это издание представляет собой полное прохождение уязвимого веб-приложения «DVWA». Грубо говоря – это тренировочный стенд для оттачивания навыков эксплуатации основных уязвимостей, которые встречаются в веб-приложениях повсеместно.

Так как же расшифровывается «DVWA», спросите Вы? «DVWA» или Damn Vulnerable Web Application – это веб-приложение на PHP/MySQL, которое очень уязвимо, я бы даже сказал, чертовски уязвимо. Оно было создано для того, чтобы специалисты по безопасности, а также разработчики, смогли тестировать его на предмет потенциальных уязвимостей.

Интерфейс приложения достаточно прост, и разбит на категории уязвимостей, в каждой из которых есть три уровня безопасности: низкий (low), средний (medium), и высокий (high).

Когда я только начинал тестировать приложение, у меня была версия v1.0.7, которая есть в уязвимой виртуальной машине Metasploitable 2. Эту машину можно установить в среду виртуализации VirtualBox, Vmware и другие.

Вот ссылка на скачивание Metasploitable 2: https://sourceforge.net/projects/metasploitable/files/Metasploitable2/

Обращаю Ваше внимание на то, что версия v1.0.7 содержит не так много видов уязвимостей, по сравнению с версией v.1.9. Последнюю версию «DVWA» можно найти в виртуальной машине «Web Security Dojo». Web Security Dojo – это также виртуальная машина, предоставляющая инструменты, цели и документацию для обучения тестирования безопасности веб-приложений. Интернет не требуется для использования. Идеально подходит для тех, кто заинтересован в практике этического взлома, тестирования на проникновение, вознаграждения за обнаружение ошибок и захвата флага (CTF). Резюмируя работу с этой виртуальной машиной, я хотел бы выделить нужную нам версию «DVWA» v.1.9.

В нее входят следующие уязвимости:

• Brute Force;
• Command Injection;
• CSRF;
• File Inclusion;
• Insecure CAPTCHA;
• SQL Injection;
• SQL Injection (Blind);
• Weak Session IDs;
• XSS (DOM);
• XSS (Reflected);
• XSS (Stored);
• CSP Bypass;
• JavaScript.

Скачать образ виртуальной машины можно, перейдя по ссылке: https://sourceforge.net/projects/websecuritydojo/

Информация и методы решения и эксплуатации тех или иных уязвимостей, не претендуют на прописную истину, так как вариантов для обнаружения уязвимостей и обхода всевозможных фильтров сервера существует великое множество.

Моя задача, как автора, показать все многообразие ошибок, которые преимущественно встречаются в веб-приложениях.

Надеюсь, книга поможет Вам начать путь тестировщика программного обеспечения, а также понять механизмы работы компонентов системы, при реализации разных векторов атак на приложения.

С надеждой на Ваше развитие, Михаил Тарасов (Timcore).

Цена: 1 500 руб.

Для приобретения пишите по форме обратной связи на сайте или на почту: admin@timcore.ru