OWASP Mutillidae II — это набор бесплатных, с открытым исходным кодом, сознательно уязвимых веб-приложений.
Задача этой программы: выступать в качестве полигона для тренировки специалистов по безопасности, хакеров.
OWASP Mutillidae II написан на PHP и может быть установлен на любой веб-сервер с PHP (но не надо устанавливать его на свой хостинг! Либо ограничьте по IP доступ к уязвимым программам).
OWASP Mutillidae II уже предустановлен в SamuraiWTF и OWASP BWA.
Дополнительная информация, в том числе по установке: https://kali.tools/?p=1925
OWASP Mutillidae II переехал на GitHub
Новый адрес проекта: https://github.com/webpwnized/mutillidae
Там же можно скачать последнюю версию: https://github.com/webpwnized/mutillidae/archive/master.zip
Список изменений теперь здесь: https://github.com/webpwnized/mutillidae/blob/master/documentation/change-log.txt
Новое в версиях за ноябрь 2018 года (версии с OWASP Mutillidae II 2.6.72 по 2.6.76)
OWASP Mutillidae II 2.6.76:
- Изменён формат журнала со списком изменений в самой программе. Раньше он был HTML, теперь это обычный текст — так на GitHub удобнее
- CSRF перемещена в XSS меню, поскольку CSRF больше не относится к категории OWASP Top Ten и CSRF всегда была одним из вариантов использования XSS
- Оставлена CSRF в меню 2013 меню для тех, кто использует старое меню
OWASP Mutillidae II 2.6.75:
- ИСПРАВЛЕНИЕ БАГА: Удалена отсылка к функции onLoadOfBody в header.php
- ИСПРАВЛЕНИЕ БАГА: Приняты запросы изменений от JohnPMurphy для исправления бага с RegEx (регулярными выражениями) JavaScript
OWASP Mutillidae II 2.6.74:
- Добавлены 3 видео урока по LDAP инъекции
OWASP Mutillidae II 2.6.73:
- Разделены подсказки по LDAP инъекции от вводной документации по LDAP
- Добавлена новая страница: ldap-setup-hint.inc
OWASP Mutillidae II 2.6.72:
- Добавлена новая уязвимость: LDAP инъекция
- Добавлена новая страница: conference-room-lookup.php
- Добавлена новая страница: ldap-injection-hint.inc
- Добавлена новая страница: ldap-config.inc
- Обновлена vulerabilities.php
- Переименована database-config.php в database-config.inc
Новое за октябрь 2018 года (версии с OWASP Mutillidae II 2.6.70 по OWASP Mutillidae II 2.6.71)
OWASP Mutillidae II 2.6.71:
- На страницу помощи (Help) добавлены примеры CSRF
OWASP Mutillidae II 2.6.70:
- На страницу помощи (Help) добавлено больше примеров XSS
- ИСПРАВЛЕНИЕ БАГА: Обновлено несколько ссылок на главную (Home) страницу
- Обновлены ссылки с SourceForge на GitHub (Mutillidae теперь хостится на GitHub)
Новое за сентябрь 2018 года (версии с OWASP Mutillidae II 2.6.63 по OWASP Mutillidae II 2.6.69)
OWASP Mutillidae II 2.6.69:
- ИСПРАВЛЕНИЕ БАГА: Удалена кнопка Добавить в закладки веб-браузера. Эта функция не работает в современных браузерах
- Добавлен README для установки
OWASP Mutillidae II 2.6.68:
- ИСПРАВЛЕНИЕ БАГА: исправлено несколько ошибок в MySQLHandler.php, включая попытки различных паролей от различных установок Mutillidae. Пароли, которые будут автоматически попробованы: <пустой>, samurai, mutillidae и пароль в конфигурационном файле includes/database-config.php
OWASP Mutillidae II 2.6.67:
- Добавлена страница подсказок на настройки HTTPS с самоподписанным сертификатом
- Добавлена ссылка на переход к видео на странице помощи
- Сделана новая подсказка о виртуальных хостах Apache
- Сделана новая подсказка о настройке локальных имён хостов
- Исправлен небольшой баг форматирования в подсказке IDOR
- Обновлены инструкции по использованию
- Инструкции по установки перемещены в папку documenation
- Удалён устаревший файл документации how-to-access-Mutillidae-over-Virtual-Box-network.php
- Обновлены инструкции по обновлению
- Добавлены видео уроки к инструкциям по установки
- Перед ссылками на видео добавлен логотип
- Исправлена проблема с пространством для видео ссылок
OWASP Mutillidae II 2.6.65:
- ИСПРАВЛЕНИЕ БАГА: Исправлена ошибка в двух файлах документации, которые рекомендуют php-curl
- Удалено предупреждение об уходе MySQL с пустого пароля
- ИСПРАВЛЕНИЕ БАГА: Исправлена документация по Созданию виртуальных хостов
OWASP Mutillidae II 2.6.64:
- ИСПРАВЛЕН БАГ: Исправлена ошибка в документации, которая неверно показывает как добавить запись к файлу /etc/hosts
- Добавлена новая страница документации по виртуальных хостам
OWASP Mutillidae II 2.6.63:
- Проект обновлён для Raspberry Pi 3 B+, Ubuntu 18.04, PHP 7.2 и MariaDB MySQL 5.7
- Изменение для root пароля базы данных на "mutillidae". В последних версиях MySQL не будет принимать пустой пароль. Это большое изменение для многих пользователей Mutillidae.
- Предпринята попытка снизить влияние нового пароля базы данных. Соединение к базе данных будет пытаться использовать все старые и новые пароли, которые Mutillidae когда либо использовала, в надежде, что один из них сработает для пользователя. Это можете новым пользователям насколько это вообще возможно.
- Добавлен код удаления заголовка HSTS когда проект настроен на уровень безопасности Security Level 0 и 1
- ИСПРАВЛЕН БАГ: Исправлено неправильное написание в RequiredSoftwareHandler
- Добавлена новая страница документации для виртуальных хостов и локальных имён хостов
Новое за декабрь 2018 года (версии с OWASP Mutillidae II 2.6.77 по 2.7.0)
OWASP Mutillidae II 2.7.0:
- Добавлена новая страница с новой защитой. Страница echo будет реализовывать XSS и инъекцию команд. На уровне безопасности 5, будет использоваться кодирование для защиты страницы от XSS. Для инъекции команд, будет использоваться вызов PHP API вместо вызова к оболочке. Это намного более сильная защита, чем валидация ввода, используемого страницей DNS Lookup (другая страница с инъекцией команд).
- Добавлено больше фильтров к форме JavaScript для валидации страниц DNS Lookup и Conference Room Lookup
- Оптимизирован JavaScript на нескольких страницах
- ИСПРАВЛЕНИЕ ОШИБКИ: Исправлено JavaScript сообщение об ошибке в форме валидации на нескольких страницах
- Добавлена новая страница echo в несколько меню
- ИСПРАВЛЕНИЕ ОШИБКИ: JavaScript баг в синтаксисе RegEx (регулярного выражения) на нескольких страницах
OWASP Mutillidae II 2.6.78:
- Добавлены примеры коротких инъекций на странице подсказок SQL инъекций
- Обновлён LogPatternParser.php для PHP 7.3
OWASP Mutillidae II 2.6.77:
- К странице XSS подсказок и видео добавлено больше примеров для воровства кукиз
Новое за январь 2019 года (версии с OWASP Mutillidae II 2.7.1 по ...)
OWASP Mutillidae II 2.7.2:
- НОВАЯ СТРАНИЦА: добавлена edit-account-profile.php с традиционной уязвимостью IDOR
- process-commands.php перемещена в директорию includes
- Из меню удалена user signature
- Добавлена кнопка редактирования профиля в меню рядом с именем пользователя если пользователь выполнил вход
- ИСПРАВЛЕНИЕ БАГА: небольшая проблема register.php
- ИСПРАВЛЕНИЕ БАГА: удалён посторонний код в register.php
- ИСПРАВЛЕНИЕ БАГА: удалён посторонний код в header.php
- ИСПРАВЛЕНИЕ БАГА: Исправлена ссылка в login.php
- ИСПРАВЛЕНИЕ БАГА: Баг кастинга (проверки) на целое число в CSRFTokenHandler.php
OWASP Mutillidae II 2.7.1:
- ИСПРАВЛЕНИЕ БАГА: Небольшая ошибка в классе OWASP logger
- ИСПРАВЛЕНИЕ БАГА: Небольшая ошибка в сообщении JavaScript, отображаемом, если не удалась валидация JavaScript
Установка OWASP Mutillidae II в Kali Linux
Для автоматической установки самой последней версии OWASP Mutillidae II в Kali Linux написан скрипт. Этот скрипт вы найдёте здесь: https://hackware.ru/?p=2160
Недавно скрипт исправлен в соответствии с произошедшими изменениями — теперь всё опять работает.
С помощью этого скрипта в любой момент также можно и обновить OWASP Mutillidae II до последней версии.
Скрипт вновь обновлён в связи с переходом Kali Linux на PHP 8.1.