اختبار قيادة تطبيق الويب الضعيف اللعين

ما الأمر؟

مرحبًا بك في اختبار القيادة - سيزودك هذا المستند بالمعلومات التي تحتاجها لتحقيق أقصى استفادة من اختبار قيادة تطبيق الويب الضعيف اللعين (DVWA) في Azure. بالنسبة لأولئك غير المطلعين، ما هو DVWA؟ إنه تطبيق ويب مصمم ليكون ضعيفًا عن قصد لأغراض الاختبار الأمني والأغراض التعليمية.

DVWA هو تطبيق ويب PHP / MySQL، هدفه الرئيسي هو أن يكون أداة مساعدة لمحترفي الأمن لاختبار مهاراتهم وأدواتهم في بيئة قانونية. لقد حاولنا أن نجعل نشر DVWA بسيطًا قدر الإمكان وقمنا ببناء ميزة إضافية يمكن تطبيقها بسهولة على موازن تحميل EdgeNEXUS ALB-X.

Looxy.io هو أداة الاختبار الخارجية التي نوصي بها. يمكنها تشغيل مجموعة متنوعة من اختبارات الأمان (واختبارات أخرى). وأفضل ما في الأمر أنه مجاني! looxy.io

كيف تعمل؟

يتمتع ALB-X بالقدرة على تشغيل التطبيقات المعبأة في حاويات والتي يمكن ضمها معًا مباشرةً أو باستخدام وكيل موازن التحميل. تحتوي هذه الصورة على إضافة واحدة منشورة بالفعل ولكن يمكنك دائمًا الانتقال إلى Appstore ونشر المزيد.

نظرة عامة على الاتصال

تستخدم الأجهزة الافتراضية التي يتم نشرها في سحابة Azure السحابية عناوين IP الداخلية الخاصة (عناوين IP الخاصة (NAT'ed IP) بنفس الطريقة التي يتم نشرها في بيئة مركز بيانات قياسية.

للوصول إلى المورد عبر الإنترنت العام يتم تنفيذ وظيفة NAT من عنوان IP العام المخصص إلى عنوان IP الخاص للجهاز الظاهري. يتم تخصيص عنوان IP واحد للجهاز ويتم استخدام منافذ مختلفة للوصول إلى الموارد المختلفة. يوضح الرسم البياني أدناه كيفية تواصل الوظائف المختلفة. تطبيق الويب الضعيف DVWA عبر الإنترنت.

اسم مضيف Docker/عنوان IP واتصال خدمة IP

تتواصل التطبيقات الإضافية المنشورة على ALB-X مع ALB-X من خلال واجهة شبكة docker0 الداخلية. يتم تخصيص عناوين IP لها تلقائيًا من تجمع docker0 الداخلي.

يتم تكوين اسم مضيف لكل مثيل للتطبيق الإضافي من خلال واجهة المستخدم الرسومية ALB-X قبل بدء تشغيل التطبيق. يستطيع ALB-X حل عنوان IP الخاص بـ docker0 للتطبيق باستخدام اسم المضيف الداخلي هذا. استخدم دائمًا اسم المضيف عند معالجة حاويات التطبيق - قد يتغير عنوان IP!

يتم تكوين خدمات IP باستخدام عنوان IP الخاص Azure eth0 على ALB-X للسماح بالوصول الخارجي إلى التطبيق الإضافي. يتيح ذلك استخدام وظيفة الوكيل العكسي لـ ALB-X لتنفيذ إلغاء تحميل SSL وترجمة المنافذ عند الحاجة. إذن هذه هي جميع المنافذ المفتوحة: إدارة واجهة المستخدم الرسومية ALB-X: 27376 DVWA: 80

الوصول إلى واجهة المستخدم الرسومية لاختبار القيادة

عندما تطلب اختبار القيادة يتم إنشاء مثيل جديد لجهاز اختبار DVWA في Azure.

نوصي باستخدام متصفح Chrome لهذا الغرض. الوصول إلى الخادم

https://host الاسم: 27376

الوظائف الإضافية ALB-X

انقر على المكتبة في القائمة اليسرى وحدد الوظائف الإضافية. هنا يمكنك رؤية الوظيفة الإضافية DVWA التي تم نشرها على منصة ALB-X.

لقد تم تكوينه باستخدام حاوية أو اسم مضيف dvwa1 ويمكنك رؤية عنوان IP 172.x.x.x.x الديناميكي docker0 الذي تم تخصيصه عند بدء تشغيل التطبيق.

تطبيق الويب الضعيف اللعين

نظرًا لأن وظيفة DVWA هي التي تهتم بها، فمن المنطقي الآن إلقاء نظرة على واجهة المستخدم الرسومية DVWA. يعمل DVWA كما ترى من تسمية خدمات IP على المنفذ 80.

انقر على إنشاء/إعادة تعيين قاعدة بيانات

مستوى الأمان الافتراضي لـ DVWA هو ”مستحيل“ لذلك لن تظهر أي ثغرات أمنية.

حقن الأوامر

سنحاول استغلال إحدى ثغرات DVWA. كما نرى هناك صفحة في DVWA حيث يمكننا اختبار اتصال أي عنوان IP. دعونا نتحقق مما إذا كان DVWA يقوم بالتحقق من صحة معلمات الإدخال في وضع الأمان ”المنخفض“. أدخل ”127.0.0.1؛ cat /etc/passwd“ في حقل إدخال عنوان IP.

ها قد نجحنا في إدخال أمر عشوائي وحصلنا على قائمة بالمستخدمين المسجلين في نظام التشغيل.

تطبيق الويب الضعيف اللعين (DVWA)

خادم ويب مستهدف قابل للتهيئة يمكن استخدامه لاختبار أداة WAF والهجوم

اختبار القيادة →

أداة الهجوم على تطبيقات الويب ZAP

أداة هجوم تطبيقات الويب هي أداة لفحص الثغرات الأمنية تعتمد على OWASP ZAP

اختبار القيادة →

نود أن نسمع منك

اتصل بنا

0808 1645876

(866) 376-0175

support@edgenexus.io

لا تأخذ كلمتنا على محمل الجد - خذ تجربة مجانية

أجهزة أو برامج أو حتى صورتك الخاصة على الإنترنت كاملة مع بيئة اختبار كاملة.
فقط أخبرنا بما تحتاجه هنا

التطبيقات

الموارد

الشركاء

متجر التطبيقات