Esta es una imagen que integra la herramienta bWAPP y modSecurity WAF, para que puedas ver los registros de ataques desde la perspectiva del servidor víctima.
Consúltala en el repositorio de Ikigai Consultoría Informática:
Puedes practicar las siguientes vulnerabilidades
- SQL, HTML, iFrame, SSI, OS Command, PHP, XML, XPath, LDAP, Host Header and SMTP injections
- Cross-Site Scripting (XSS), Cross-Site Tracing (XST) and Cross-Site Request Forgery (CSRF)
- AJAX and Web Services issues (jQuery/JSON/XML/SOAP/WSDL)
- Authentication, authorization and session issues, file upload flaws and backdoor files
- Arbitrary file access, directory traversals, local and remote file inclusions (LFI/RFI)
- Configuration issues: Man-in-the-Middle, cross-domain policy files, information disclosures,…
- HTTP parameter pollution, HTTP response splitting and HTTP verb tampering
- HTML5 ClickJacking, Cross-Origin Resource Sharing (CORS) and web storage issues
- XML External Entity attacks (XXE) and Server Side Request Forgery (SSRF)
- Parameter tampering, cookie and password reset poisoning
La instalación y uso es facilito, te muestro a continuación.
- Descarga e instala Docker aquí.
- Copia y pega esto en tu terminal para descargar la imagen:
docker pull ikigaiconsultoria/labsecurity-1:v0.1
- Abre Docker y ya debería estar la imagen instalada.
- Creamos un contenedor:
- Indica el puerto e inicia:
- Ingresa a tu localhost para instalar: http://localhost:80/bWAPP/install.php
¡Listo!
Como se integra modSecurity, en los logs de nuestro contenedor podemos visualizar los ataques que detecte realizados por nosotros mismos.
Con este contenedor además de atacar podemos practicar técnicas de evasión, probar reglas de modSecurity, configuraciones, y mucho más.
Ya sabes que si este post te sirve de ayuda, probablemente a otros más. Te agradezco compartir. 🙋🏻♀️