Sec24 – Penetrationstest – Sätta upp en testmiljö

Av: Oscar Andersson, Sec24, 2012-12-21

OBS:  Följande guider är enbart för utbildningssyfte och får absolut inte användas för olagliga ändamål.

Installera inte detta på din vanliga webbserver då hemsidan kommer ha flera sårbarheter!

För de webbaserade hacken krävs enbart DVWA men när vi går in på annat krävs Metasploitable. DVWA, Damn Vulnerable Web Application, är en webbapplikation som är skapad för att du ska kunna testa de vanligaste säkerhetsbristerna såsom att Brute Forca användarnamn och lösenord, Cross-site scripting (XSS), SQL Injection (SQLI), Blind SQL Injection, Command Execution och Cross Site Request Forgery (CSRF). Metasploitable är en virtual machine som redan har DVWA installerat och en massa säkerhetshål därtill och rekommenderas därför som testmiljö. Ladda ner Metasploitable från SourceForge och kör det sedan i exempelvis VMware Player. För vissa hack krävs även BackTrack eller Kali som är operativsystem skapat för penetrationstestning, även BackTrack och Kali finns som virtual machines med Gnome. Alla program är gratis och finns länkade nedan.

Guider finns dock för hur du sätter upp DVWA på en ny Ubuntu Server och som Localhost med XAMPP på din nuvarande dator också.

Användbara länkar:

VMware Player

Metasploitable 2 – Användarnamn och lösenord: msfadmin

BackTrack

Kali

DVWA