WebBug
WebBug是用Java語言編寫的Web漏洞靶場,包含常見的Web漏洞,也有一些業務邏輯漏洞。相對常見的漏洞靶場,
WebBug的優點是沒有明確指明哪個頁面有什么類型的漏洞,所以需要測試者自己測試過之后才能知道,相對更接近實戰環境。
WebBug還有一個優點就是給出了部分漏洞的修復方案,可以在學習Web漏洞測試的同時,也能學習Java應用程序漏洞的修復方式及代碼審計。
運行效果圖
漏洞類型
包含如下漏洞,以及修復方案。
- 暴力破解
- 驗證碼繞過(前端繞過)
- SQL注入(Bind)
- 越權訪問(垂直越權)
- XSS(存儲型)
- XSS(反射型)
- CSRF
- 任意文件上傳
- 不安全的直接對象引用
- 失效的身份認證和會話管理
- 不安全的配置
- ...
Usage
如果你已經安裝docker/docker-compose可以跳過這一步
# 在Ubuntu 20.04下安裝docker/docker-compose:
# 安裝pip
curl -s https://bootstrap.pypa.io/get-pip.py | python3
# 安裝最新版docker
curl -s https://get.docker.com/ | sh
# 啟動docker服務
systemctl start docker
# 安裝compose
pip install docker-compose
# 其他操作系統安裝docker和docker-compose可能會有些許不同,
# 請閱讀Docker文檔進行安裝。
git clone https://github.com/mysticbinary/WebBug.git
cd WebBug
docker-compose up -d
警告
不要將此項目運行在外網服務器,除非你想被攻擊。
本項目只做Web安全研究用途,任何人不得將其用於非法用途,否則后果自行承擔!
手動啟動時所需環境
- JDK:1.7
- Tomcat:7
- MySQL:5.7
不建議手動編譯了(項目太老),如果不想在Docker環境下使用,
將生成的ROOT.war文件,放到tomcat\webapps\目錄下即可。