OWASP Mutillidae II  

  RSS

MiAl
 MiAl
(@mial)
Участник Admin
Присоединился: 3 месяца назад
Сообщения: 77
19/12/2018 6:06 дп  

OWASP Mutillidae II — это набор бесплатных, с открытым исходным кодом, сознательно уязвимых веб-приложений.

Задача этой программы: выступать в качестве полигона для тренировки специалистов по безопасности, хакеров.

OWASP Mutillidae II написан на PHP и может быть установлен на любой веб-сервер с PHP (но не надо устанавливать его на свой хостинг! Либо ограничьте по IP доступ к уязвимым программам).

OWASP Mutillidae II уже предустановлен в SamuraiWTF и OWASP BWA.

Дополнительная информация, в том числе по установке: https://kali.tools/?p=1925

This topic was modified 1 месяц назад by MiAl

ОтветитьЦитата
MiAl
 MiAl
(@mial)
Участник Admin
Присоединился: 3 месяца назад
Сообщения: 77
19/12/2018 6:07 дп  

OWASP Mutillidae II переехал на GitHub

Новый адрес проекта: https://github.com/webpwnized/mutillidae

Там же можно скачать последнюю версию: https://github.com/webpwnized/mutillidae/archive/master.zip

Список изменений теперь здесь: https://github.com/webpwnized/mutillidae/blob/master/documentation/change-log.txt


ОтветитьЦитата
MiAl
 MiAl
(@mial)
Участник Admin
Присоединился: 3 месяца назад
Сообщения: 77
19/12/2018 6:19 дп  

Новое в версиях за ноябрь 2018 года (версии с OWASP Mutillidae II 2.6.72 по 2.6.76)

OWASP Mutillidae II 2.6.76:

  • Изменён формат журнала со списком изменений в самой программе. Раньше он был HTML, теперь это обычный текст — так на GitHub удобнее
  • CSRF перемещена в XSS меню, поскольку CSRF больше не относится к категории OWASP Top Ten и CSRF всегда была одним из вариантов использования XSS
  • Оставлена CSRF в меню 2013 меню для тех, кто использует старое меню

OWASP Mutillidae II 2.6.75:

  • ИСПРАВЛЕНИЕ БАГА: Удалена отсылка к функции onLoadOfBody в header.php
  • ИСПРАВЛЕНИЕ БАГА: Приняты запросы изменений от JohnPMurphy для исправления бага с RegEx (регулярными выражениями) JavaScript

OWASP Mutillidae II 2.6.74:

  • Добавлены 3 видео урока по LDAP инъекции

OWASP Mutillidae II 2.6.73:

  • Разделены подсказки по LDAP инъекции от вводной документации по LDAP
  • Добавлена новая страница: ldap-setup-hint.inc

OWASP Mutillidae II 2.6.72:

  • Добавлена новая уязвимость: LDAP инъекция
  • Добавлена новая страница: conference-room-lookup.php
  • Добавлена новая страница: ldap-injection-hint.inc
  • Добавлена новая страница: ldap-config.inc
  • Обновлена vulerabilities.php
  • Переименована database-config.php в database-config.inc

ОтветитьЦитата
MiAl
 MiAl
(@mial)
Участник Admin
Присоединился: 3 месяца назад
Сообщения: 77
19/12/2018 6:29 дп  

Новое за октябрь 2018 года (версии с OWASP Mutillidae II 2.6.70 по OWASP Mutillidae II 2.6.71)

OWASP Mutillidae II 2.6.71:

  • На страницу помощи (Help) добавлены примеры CSRF

OWASP Mutillidae II 2.6.70:

  • На страницу помощи (Help) добавлено больше примеров XSS
  • ИСПРАВЛЕНИЕ БАГА: Обновлено несколько ссылок на главную (Home) страницу
  • Обновлены ссылки с SourceForge на GitHub (Mutillidae теперь хостится на GitHub)
This post was modified 1 месяц назад by MiAl

ОтветитьЦитата
MiAl
 MiAl
(@mial)
Участник Admin
Присоединился: 3 месяца назад
Сообщения: 77
19/12/2018 6:47 дп  

Новое за сентябрь 2018 года (версии с OWASP Mutillidae II 2.6.63 по OWASP Mutillidae II 2.6.69)

OWASP Mutillidae II 2.6.69:

  • ИСПРАВЛЕНИЕ БАГА: Удалена кнопка Добавить в закладки веб-браузера. Эта функция не работает в современных браузерах
  • Добавлен README для установки

OWASP Mutillidae II 2.6.68:

  • ИСПРАВЛЕНИЕ БАГА: исправлено несколько ошибок в MySQLHandler.php, включая попытки различных паролей от различных установок Mutillidae. Пароли, которые будут автоматически попробованы: <пустой>, samurai, mutillidae и пароль в конфигурационном файле includes/database-config.php

OWASP Mutillidae II 2.6.67:

  • Добавлена страница подсказок на настройки HTTPS с самоподписанным сертификатом
  • Добавлена ссылка на переход к видео на странице помощи
  • Сделана новая подсказка о виртуальных хостах Apache
  • Сделана новая подсказка о настройке локальных имён хостов
  • Исправлен небольшой баг форматирования в подсказке IDOR
  • Обновлены инструкции по использованию
  • Инструкции по установки перемещены в папку documenation
  • Удалён устаревший файл документации how-to-access-Mutillidae-over-Virtual-Box-network.php
  • Обновлены инструкции по обновлению
  • Добавлены видео уроки к инструкциям по установки
  • Перед ссылками на видео добавлен логотип
  • Исправлена проблема с пространством для видео ссылок

OWASP Mutillidae II 2.6.65:

  • ИСПРАВЛЕНИЕ БАГА: Исправлена ошибка в двух файлах документации, которые рекомендуют php-curl
  • Удалено предупреждение об уходе MySQL с пустого пароля
  • ИСПРАВЛЕНИЕ БАГА: Исправлена документация по Созданию виртуальных хостов

OWASP Mutillidae II 2.6.64:

  • ИСПРАВЛЕН БАГ: Исправлена ошибка в документации, которая неверно показывает как добавить запись к файлу /etc/hosts
  • Добавлена новая страница документации по виртуальных хостам

OWASP Mutillidae II 2.6.63:

  • Проект обновлён для Raspberry Pi 3 B+, Ubuntu 18.04, PHP 7.2 и MariaDB MySQL 5.7
  • Изменение для root пароля базы данных на "mutillidae". В последних версиях MySQL не будет принимать пустой пароль. Это большое изменение для многих пользователей Mutillidae.
  • Предпринята попытка снизить влияние нового пароля базы данных. Соединение к базе данных будет пытаться использовать все старые и новые пароли, которые Mutillidae когда либо использовала, в надежде, что один из них сработает для пользователя. Это можете новым пользователям насколько это вообще возможно.
  • Добавлен код удаления заголовка HSTS когда проект настроен на уровень безопасности Security Level 0 и 1
  • ИСПРАВЛЕН БАГ: Исправлено неправильное написание в RequiredSoftwareHandler
  • Добавлена новая страница документации для виртуальных хостов и локальных имён хостов

ОтветитьЦитата
MiAl
 MiAl
(@mial)
Участник Admin
Присоединился: 3 месяца назад
Сообщения: 77
19/12/2018 6:49 дп  

Новое за декабрь 2018 года (версии с OWASP Mutillidae II 2.6.77 по 2.7.0)

OWASP Mutillidae II 2.7.0:

  • Добавлена новая страница с новой защитой. Страница echo будет реализовывать XSS и инъекцию команд. На уровне безопасности 5, будет использоваться кодирование для защиты страницы от XSS. Для инъекции команд, будет использоваться вызов PHP API вместо вызова к оболочке. Это намного более сильная защита, чем валидация ввода, используемого страницей DNS Lookup (другая страница с инъекцией команд).
  • Добавлено больше фильтров к форме JavaScript для валидации страниц DNS Lookup и Conference Room Lookup
  • Оптимизирован JavaScript на нескольких страницах
  • ИСПРАВЛЕНИЕ ОШИБКИ: Исправлено JavaScript сообщение об ошибке в форме валидации на нескольких страницах
  • Добавлена новая страница echo в несколько меню
  • ИСПРАВЛЕНИЕ ОШИБКИ: JavaScript баг в синтаксисе RegEx (регулярного выражения) на нескольких страницах

OWASP Mutillidae II 2.6.78:

  • Добавлены примеры коротких инъекций на странице подсказок SQL инъекций
  • Обновлён LogPatternParser.php для PHP 7.3

OWASP Mutillidae II 2.6.77:

  • К странице XSS подсказок и видео добавлено больше примеров для воровства кукиз
This post was modified 3 недели назад by MiAl

ОтветитьЦитата
MiAl
 MiAl
(@mial)
Участник Admin
Присоединился: 3 месяца назад
Сообщения: 77
03/01/2019 5:53 дп  

Новое за январь 2019 года (версии с OWASP Mutillidae II 2.7.1 по ...)

OWASP Mutillidae II 2.7.2:

  • НОВАЯ СТРАНИЦА: добавлена edit-account-profile.php с традиционной уязвимостью IDOR
  • process-commands.php перемещена в директорию includes
  • Из меню удалена user signature
  • Добавлена кнопка редактирования профиля в меню рядом с именем пользователя если пользователь выполнил вход
  • ИСПРАВЛЕНИЕ БАГА: небольшая проблема register.php
  • ИСПРАВЛЕНИЕ БАГА: удалён посторонний код в register.php
  • ИСПРАВЛЕНИЕ БАГА: удалён посторонний код в header.php
  • ИСПРАВЛЕНИЕ БАГА: Исправлена ссылка в login.php
  • ИСПРАВЛЕНИЕ БАГА: Баг кастинга (проверки) на целое число в CSRFTokenHandler.php

 

OWASP Mutillidae II 2.7.1:

  • ИСПРАВЛЕНИЕ БАГА: Небольшая ошибка в классе OWASP logger
  • ИСПРАВЛЕНИЕ БАГА: Небольшая ошибка в сообщении JavaScript, отображаемом, если не удалась валидация JavaScript

ОтветитьЦитата
MiAl
 MiAl
(@mial)
Участник Admin
Присоединился: 3 месяца назад
Сообщения: 77
04/01/2019 3:54 дп  

Установка OWASP Mutillidae II в Kali Linux

Для автоматической установки самой последней версии OWASP Mutillidae II в Kali Linux написан скрипт. Этот скрипт вы найдёте здесь: https://hackware.ru/?p=2160

Недавно скрипт исправлен в соответствии с произошедшими изменениями — теперь всё опять работает.

С помощью этого скрипта в любой момент также можно и обновить OWASP Mutillidae II до последней версии.


ОтветитьЦитата
Share:
  
Работает

Пожалуйста, Вход или Зарегистрироваться