Hiện tại, chắc có nhiều bạn tester cũng rất muốn học về web security testing nhưng không biết lấy cái gì làm đối tượng để thực hành bây giờ. Nói về web security thì có hàng triệu trang web đang ở trước mắt bạn, target nhiều vô kể nhưng mà thực hành test trên những trang đó thì có thể là bạn đang phạm luật và dễ bị abcxyz lắm. Cùng với đó, là việc chọn nhầm target, trang web đc secure quá kỹ, chả có lỗi nào đơn giản để bạn học. Chưa kể đến việc, web này mắc lỗi injection nhưng ko bị lỗi xss, làm bạn mệt mỏi để tìm target khác nhau.
Hiện tại có rất nhiều dự án open-source cung cấp sản phẩm hỗ trợ học security, có thể kể đến: WebGoat, bWapp, mutillidae…(Full list). Hiện tại, mình mới setup bWapp và WebGoat, thấy sử dụng bWapp khá thích vì mình có thể xem source code để xem lỗi nằm ở đâu và làm thế nào để loại bỏ lỗi.
1. bWapp là gì?
Như đã giới thiệu ở trên, bWapp là 1 buggy web application, miễn phí và hoàn toàn hợp pháp để làm đủ trò với nó. ^^ Các bạn có thể đọc thêm giới thiệu ở đây.
2. Cài đặt Xampp
- Download: https://www.apachefriends.org/download.html
(Down bản 5.6 vì bWAPPcó sử dụng nhiều function của php 5, dùng bản xampp 7 ko run đc) - Setup như bình thường. Mình đặt xampp thẳng vào trong ổ C:\xampp
3. Cài đặt bWapp
- Download bWAPP_latest.zip: https://sourceforge.net/projects/bwapp/files/bWAPP/
- Giải nén và copy toàn bộ thư mục vào folder htdocs của xampp.
4. Run bWapp
- Run xampp. Start Apache + mySQL (Đọc thêm mục lưu ý ở phía dưới)
- Gõ vào URL của chrome: http://localhost/bwapp/install.php
- Click vào “Here” để install
- Vào: http://localhost/bwapp/login.php với account login: bee / bug
[Lưu ý]
I. Apache của bạn có thể không run được vì nó cần open port 80 và 443 nhưng vì bạn có dùng skype và skype đang chiếm mất 2 port đó.
Bạn vào Skype: Tool / Options / Advanced / Connection.
Bỏ dấu checked ở “Use port 80 and 443…”
Bỏ dấu checked ở “Use port 80 and 443…”
II. Nếu bạn install mà bị báo lỗi là “Access denied for user ‘root’@’localhost’ ….” thì bạn cần xem lại file settings.php trong folder C:\xampp\htdocs\bWAPP\admin.
Sửa thành:
$db_server = “localhost”;
$db_username = “root”;
$db_password = “”;
$db_name = “bWAPP”;
$db_username = “root”;
$db_password = “”;
$db_name = “bWAPP”;
Bây giờ bạn đã có thể thực hành securtiy testing với bWapp được rồi.
Cập nhật công nghệ từ Youtube tại link: https://www.youtube.com/channel/UCOxeYcvZPGf-mGLYSl_1LuA/videos
Để tham gia khóa học công nghệ truy cập link: http://thuvien.hocviendaotao.com
Mọi hỗ trợ về công nghệ email: dinhanhtuan68@gmail.com
