本文主要是介绍[yotroy.cool]自己搭建一个web漏洞练习平台,适合各水平用户使用,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
个人博客https://www.yotroy.cool/,欢迎关注我哦~
前言:学习了一些理论和技能怎么能少了实践呢?自己搭建一个漏洞联系平台吧
============================================================
使用的Pikachu漏洞靶场系统,官网我找不到了。。。
Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。 如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。
Pikachu上的漏洞类型列表如下:
Burt Force(暴力破解漏洞)
XSS(跨站脚本漏洞)
CSRF(跨站请求伪造)
SQL-Inject(SQL注入漏洞)
RCE(远程命令/代码执行)
Files Inclusion(文件包含漏洞)
Unsafe file downloads(不安全的文件下载)
Unsafe file uploads(不安全的文件上传)
Over Permisson(越权漏洞)
../../../(目录遍历)
I can see your ABC(敏感信息泄露)
PHP反序列化漏洞
XXE(XML External Entity attack)
不安全的URL重定向
SSRF(Server-Side Request Forgery)
More...(找找看?..有彩蛋!)
管理工具里面提供了一个简易的xss管理后台,供你测试钓鱼和捞cookie~
后续会持续更新一些新的漏洞进来,也欢迎你提交漏洞案例给我,最新版本请关注pikachu
作者GitHub链接:https://github.com/zhuifengshaonianhanlu
每类漏洞根据不同的情况又分别设计了不同的子类
安装
数据库使用的是mysql,因此运行Pikachu你需要提前安装好"PHP+MYSQL+中间件(如apache,nginx等)“的基础环境,建议在你的测试环境直接使用 一些集成软件来搭建这些基础环境,比如XAMPP,WAMP等。
–>把下载下来的pikachu文件夹放到web服务器根目录下;
–>根据实际情况修改inc/config.inc.php里面的数据库连接配置;
–>访问http://x.x.x.x/pikachu,会有一个红色的热情提示"欢迎使用,pikachu还没有初始化,点击进行初始化安装!”,点击即可完成安装。
自己在家搭建也不难,你需要一个树莓派或者其他硬件小要求,实在不行虚拟机也可以。
附上下载链接。
以上就是web靶场的安装建议了,欢迎关注支持原创作者哦。
============================================================
未经作者授权,禁止转载;如需转载,请标明出处。
这篇关于[yotroy.cool]自己搭建一个web漏洞练习平台,适合各水平用户使用的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
