題:
脆弱的Java應用程序?
Ragini
2012-09-12 20:29:57 UTC
view on stackexchange narkive permalink

我正在尋找一些開放源代碼/免費的,基於Java的易受攻擊的應用程序。它可以是Web應用程序,桌面應用程序或任何其他應用程序。我需要他們在研究工作中做一些實驗。它們可以很小或中等大小,但是如果它像真實世界中的應用程序那樣很好。

漏洞可能包括XSS攻擊,訪問未經授權的數據,SQL注入等。

我已經嘗試過OWASP應用程序,但還需要更多。有人可以建議我在哪裡可以找到這樣的易受攻擊/可利用的Java應用程序嗎?

您不能只創建自己的嗎?
@Ramhound:-我想嘗試不同的漏洞,因此為每種情況創建應用程序確實需要時間。
三 答案:
rook
2012-09-12 21:30:10 UTC
view on stackexchange narkive permalink

如果您不熟悉狩獵,建議從 WebGoat或該死的易受攻擊的WebApp(DVWA)開始。這是因為它很好地構成了每個漏洞,您只需指向並射擊即可。您可以練習利用,並使用真正的漏洞。 “射擊範圍”

在某些實際應用中,有意編寫的內容是不安全的(就像SASS工具下的 Hacme系列一樣)。 Dojo將這些應用程序的集合加載到VM上,並提供了對其進行審核的工具。這實際上是第二步,因為現在您必須找到拍攝地點。 “在農場上狩獵”

第三步是找到真正的應用程序。在github / sourceforge / bitbucket / ect中搜索不到一年並且不那麼流行的Web應用程序。這些應用程序會有所不同,但大多數情況下會非常不安全。 “野外狩獵”

此後,您便開始著手開發更受歡迎的應用程序,獲取CVE編號,編寫漏洞利用代碼,並探索新開發的利用技術:exploit-db.com。 “它變得更加瘋狂……”

明確地說-假設是,如果您“在野外狩獵”,則“保留”在機器上**您具有合法訪問權限**。如果您開始通過尋找他人的保護來發現開放源代碼項目的漏洞(也就是說,針對您沒有合法訪問權限的計算機),則有權舉報您。否則需要書面許可。
@X-Zero我看不到這對我的帖子有何影響。至少可以說,對可公開獲得的應用程序執行後箱分析效率很低。
我只是想說明一下,當您針對“活動中”實例運行以確認漏洞時,您需要針對具有合法訪問權限的產品進行運行。您不能只針對某人的_else的實例運行-您需要合法可驗證的權限。
DVWA是一個PHP應用程序。 OP要求使用Java應用程序。
Dinis Cruz
2012-09-16 21:24:27 UTC
view on stackexchange narkive permalink

看看SpringMVC jPetStore,它具有許多不錯的漏洞。

有關詳細信息,示例,代碼示例和修復,請參見此鏈接

D.W.
2012-09-17 04:42:40 UTC
view on stackexchange narkive permalink

簽出 Stanford SecuriBench。它是一組開源Java Web應用程序的集合,這些應用程序具有多種漏洞,並且在以前的一些研究論文中曾用於評估研究工具。該集合很舊(2005年?),但仍可能對您有用。

該基準測試既包括旨在展示某些漏洞的人工應用程序(如WebGoat),也包括一些實際的應用程序,它們可以用來展示某些漏洞。取自現實生活,並非人為。我認為後者可能對工具的評估更為有用,因為它們更有可能代表實際應用中的編碼模式。



該問答將自動從英語翻譯而來。原始內容可在stackexchange上找到,我們感謝它分發的cc by-sa 3.0許可。
Loading...