Web Security Dojo v1.0

Web Security Dojo logo 
 
Web Security Dojo הינה Open-Source Web-Application Security Lab שפיתחה חברת MavenSecurity
לפי דברי Steven Pinkham (חוקר אבטחת מידע מ-MavenSecrity), המטרה של Dojo היא ליצור סביבת עבודה
לחוקרי אבטחת מידע, Penetration Testers ומרצים בנושא ה-Web-Application Security.

Dojo עברה את תקופת ה-Beta שלה וכעת היא נגישה להורדה בגרסה 1.0 כמערכת מוכנה למכונה וירטואלית
(ההמלצה של MavenSecurity היא להריץ תחת VMware).

Dojo מבוססת Ubuntu v9.10 ומגיעה בגרסא הנוכחית עם מספר כלים לניתוח מערכות מבוססות Web, מספר
מערכות Hackme שנועדו ללימוד ומספר Whitepapers בנושא Web-Application Security.

נכון לעכשיו הכלים המגיעים ביחד עם Dojo הם:
  • Burp Suite
  • w3af
  • OWASP Skavenger
  • OWASP Dirbuster
  • Paros
  • Webscarab
  • Ratproxy
  • sqlmap
  • Firefox add-ons

מערכות ה-Hackme שהמערכת כוללת הן שני פרוייקטים של OWASP:
  • OWASP InsecureWebApp
  • OWASP WebGoat
ועוד מספר מערכות באותו סגנון:
  • Damn Vulnerable Web App
  • Hacme Casino
  • custom PHP scripts including REST and JSON labs

ארסנל כלים יחסית דל אך לפי דברי המפתחים בעתיד יכנסו כלים נוספים ויתווספו עוד מערכות.
המטרה מאחורי הוספת המערכות הפגיעות הן לחקירה, לימוד וניסוי חולשותיהן.

ב-Dojo אין יותר מדי חידושים, אך מפני שכל המערכות הן מקומיות (תחת שרת Apache, מסד נתונים MySQL
ו-PHP דרך חבילת XAMPP) ואין שום צורך בחיבור לאינטרנט, Dojo היא כלי אידיאלי לשימוש בקורסים לאבטחת
מידע, בכדי להציג את החולשות האלה למנהלי רשתות, אנשי סיסטם או למנהלי אבטחת מידע עם רקע טכני דל.
 
עם זאת, Dojo יכולה לשמש בתור כלי יעיל ביותר לחבר'ה מתחילים שמעוניינים להכנס לעולם אבטחת המידע
בסביבות ה-Web ולהכיר את חולשות האבטחה הקלאסיות הקיימות היום.

החברה גם שחררה Introducing Clip קצר ב-Youtube עם הסבר על המערכת למי שמתעניין.



תגובות על 'Web Security Dojo v1.0':



#1 

Ratinh0 (אורח):
מגניב
תנסו להכניס לשם את tt0 ;)
27.02.2010 22:54:03

#2 

cp77fk4r:
אין סיכוי, הרעיון ב-TTO הוא הרבה ביותר רחב, כאן מדובר רק במקפות WEB, שזה נחמד, אבל זה לא הכל בחיים :)
28.02.2010 00:04:37

#3 

m1ch43l1014 (אורח):
מעולה אז יש עכשיו שני מערכות לינוקס שהם לשימוש של אבטחת מידע?backtrack וזאת השניה?או שלא הבנתי נכון?
28.02.2010 00:41:59

#4 

Ratinh0 (אורח):
צחקתי=]
מיכאל - לא בדיוק...זה מיועד למכונה וירטואלית לא ממש כמערכת הפעלה...
28.02.2010 00:56:19

#5 

cp77fk4r:
המערכת הזאת נועדה יותר ללימוד מאשר לביצוע PT. כל הכלים שיש לך ב-Dojo יש לך גם ב-Back|Track, ככה אין סיבה להשתמש בה.

הרעיון כאן הוא שהמערכת מכילה עוד מספר מערכות HackMe בכדי שמרצים בקורסים לאבטחת מידע יוכלו להדגים לתלמידי הקורס איך לבצע את המתקפות. כמו למשל מה שמנסים לעשות ב-"Certified Ethical Hacker"...
28.02.2010 01:03:16



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2014 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.