BWA چیست ؟ + اموزش نصب و استفاده از وب اپلیکیشن ان
در این قسمت از آموزش قصد داریم شما را با وب اپلیکیشن مجازی BWA آشنا کنیم، با ما همراه باشید.
شرکت OWASP چیست ؟
شرکت OWASP یکی از برترین سایت های معتبر در زمینه تست نفوذ وب اپلیکیشن ها است که شما می توانید تمام اسیب پذیری های مختلف و مدرن را در این وب سایت آموزش ببینید و حتی با استفاده از لابراتور های مجازی آسیب پذیر که در اختیار شما قرار می دهد نیز مهارت خود را بالا ببرید و به صورت قانونی تست نفوذ خود را نیز انجام دهید. همچنین شرکت OWASP دوره هایی با عنوان وب هکینک نیز ارائه داده است که ما سعی بر این داریم تا بتوانیم طبق بهترین سرفصل های دوره های بین المللی باگ ها و اسیب پذیری های مختلف را برای شما شرح دهیم .
وب اپلیکیشن BWA چیست ؟
BWA که مخفف Broken Web Applications است سامانه ای با انواع وب اپلیکیشن های مختلف است که شما می توانید مانور فوق العاده زیادی بر روی ان دهید و جالب است که بدانید این سرویس بیش از ده ها سامانه جداگانه دارد از جمله وردپرس , جوملا , bwap و سامانه های دیگر که در داخل هر کدام از این سامانه ها بیش از صد ها باگ طبقه بندی شده اند که می توانید دسته های مختلف را انتخاب کنید و نسبت به نیاز و علاقه خودتان به تست نفوذ و تمرین بپردازید .
چرا باید از BWA استفاده کنیم ؟
همانگونه که می دانید برای حرفه ای شدن در هر زمینه ای نیاز به تمرین فراوان دارد و شما بدون تمرین هرگز نمی تواند یک متخصص در حوزه مورد نظر خود شوید و از انجایی که تمرین هک بر روی وب سایت های مختلف غیرقانونی و حتی دور از اخلاق است یا باید از سایت مورد نظر خود مجوز داشته باشید و یا خودتان به فکر باشید و به دنبال مجازی ساز ها باشید و تمرینات خود را بر روی سرویس های خودتان پیاده سازی کنید. حال نیز از ان جایی که خیلی از افراد مجوز تست نفوذ بر روی سایت های مختلف را ندارند می توان از اپلیکیشن های مجازی که از قبل باگ های امنیتی را دارا هستند استفاده کرد که در این قسمت از آموزش قصد داریم شما را با نحوه راه اندازی و کار با این وب اپلیکیشن آشنا کنیم .
نحوه راه اندازی وب اپلیکیشن BWA
راه اندازی این سرویس بسیار ساده است تنها باید یک مجازی ساز بر روی سیستم خود داشته باشید که پیشنهاد می کنیم از مجازی ساز vmware استفاده کنید؛ زیرا قابلیت های بسیاری را در اختیار کاربران خود قرار می دهد . در ابتدا باید اقدام به دانلود وب اپلیکیشن بسیار دوست داشتنی bwa کنید که می توانید با ورود به لینک زیر این سرویس را نیز دانلود کنید.
سپس فایلی با حجم حدودا بیش از یک گیگ برای شما دانلود خواهد شد.
پس از دانلود , فایل را از حالت فشرده خارج کنید.
سپس مجازی ساز vm ware را اجرا کنید و از تب file گزینه open را نیز انتخاب کنید|
تا بتوانید فایل مورد نظر برای پیاده سازی این وب اپلیکیشن را به نرم افزار مجازی ساز خود نیز معرفی کنید :
نکته : در این قسمت از آموزش نسخه vm ware ما نسخه لینوکسی است و تنها تفاوت این نسخه با نسخه ویندوزی ظاهر او است و هیچ تغییری در نسخه ها وجود ندارد و شما با طی کردن همین مراحل که مراحل بسیار ساده ای نیز هستند می توانید این سرویس را بر روی لوکال هاست خود نیز پیاده سازی کنید .
در مرحله بعدی پنجره ای برای شما باز خواهد شد که باید به مسیر فایل وب اپلیکیشن BWA بروید
و فایل مورد نظر را select کنید
و با استفاده از گزینه open نیز فایل را به نرم افزار مجازی ساز خود معرفی کنید :
سپس فایل مورد نظر برای شما import می شود
و سپس می توانید با استفاده از گزینه start اقدام به راه اندازی این سرویس قدرتمند کنید.
اجرای وب اپلیکیشن BWA
اگر چند ثانیه صبر کنید نیز خواهید دید که از شما درخواست یوزرنیم و پسورد می کند
تا بتواند این سرویس را ، راه اندازی کند که یوزرنیم و پسورد این وب اپلیکیشن را برای شما قرار داده ایم :
Username = root
Password = owaspbwa
همچنین آدرس آی پی که این سرویس روی ان پیاده سازی شده است را به شما خواهد داد تا بتوانید به این سامانه دسترسی داشته باشید که در این قسمت آی پی ادرس 192.168.246.129 را به خود اختصاص داده است.
نکته : دقت داشته باشید زمانی که در حال وارد کردن پسورد هستید برای شما چیزی نمایش داده نمی شود.
حال نیز آدرس آی پی که برای شما به نمایش در اورده است را در مروگر خود وارد کنید.
سپس خواهید دید که با چنین صفحه ای مواجه خواهید شد که حدودا 34 سامانه را برای شما لیست کرده است
و می توانید به صورت رایگان با تمام ان ها تمرین کنید.
دقت داشته باشید روش های دیگری هم برای ساخت محیط ازمایش گاهی وجود دارد که می توانید از ان ها استفاده کنید برای مثال با مشاهده اموزش و دانلود dvwa محیط ازمایشگاهی تست نفوذ را می توانید برای خود ایجاد کنید.
شروع کار با BWA
حال نیز می توانید یکی از این سامانه ها را انتخاب کنید و اقدام به تمرین تست نفوذ کنید که در این قسمت از آموزش ما نیز سامانه bWapp که یکی از پرطرفدار ترین سامانه ها در حوزه تست نفوذ است را انتخاب می کنیم تا شما را با نحوه کار این سامانه نیز آشنا کنیم.
در این قسمت صفحه ورودی برای شما به نمایش در خواهد امد
که باید در قسمت یوزرنیم عبارت bee را وارد کنید
و در قسمت پسورد نیز باید عبارت bug را قرار دهید.
در قسمت سوم می توانید mode وب اپیکیشن یا همان میزان سختی امنیت را مشخص کنید
که پیشنهاد می کنیم برای دفعات اول از مود low استفاده کنید.
سپس بر روی login کلیک کنید تا بتوانید وارد سامانه شوید.
ورود به لیست اسیب پذیری های BWA
زمانی که وارد سامانه شدید با صفحه زیر رو به رو خواهید شد که در قسمت اول می توانید لیستی از آسیب پذیری ها را مشاهده کنید و یکی از انها را به دلخواه انتخاب کنید و سپس در قسمت دوم بر روی گزینه Hack کلیک کنید تا صفحه آسیب پذیر مربوط به گزینه انتخاب شده توسط شما برایتان فراخوانی شود.
سپس زمانی که صفحه مورد نظر برای شما باز شد می توانید اقدام به تست نفوذ کنید.
اما گزینه دیگری که بسیار در تمرین به شما کمک می کند این است که شما می توانید باگ مورد نظر انتخاب شده را با mode های مختلف آسان , متوسط و سخت تست کنید و تمرین کنید؛ به این منظور می توانید لیست کشویی که مربوط به این کار است را باز کنید و یکی از mode ها را انتخاب کنید و در نهایت بر روی گزینه set کلیک کنید تا mode مورد نظر شما برایتان اعمال شود.
حال نیز می توانید باگ های مختلف را با سطوح مختلف تست کنید و اقدام به تمرین تست نفوذ کنید.
نکته : بعضی از سامانه ها دارای یوزرنیم و پسورد دیگری هستند و باید برای وارد شدن به سامانه از یوزرنیم و پسورد مختص به خود استفاده کنید که معمولا یوزریم و پسورد کنار فیلد های ورود برای شما قرار داده شده است تا بتوانید از ان نیز استفاده کنید.
آشنایی با OWASP Web Goat
یکی از سامانه های این اپلیکیشن وجود دارد که نام آن OWASP Web Goat است،
که اگر قصد ورود به این سامانه را داشته باشید با صفحه زیر رو به رو خواهید شد
که باید از یوزرنیم و پسورد زیر استفاده کنید.
Username = root
Password = owaspbwa
سپس باید بر روی گزینه sign in کلیک کنید که به صفحه مورد نظر منتقل شوید
که با کلیک بر روی دکمه Start webgoat می توانید وارد سامانه اصلی webhoat شوید.
سپس آسیب پذیری های مختلف برای شما لیست شده اند
که می توانید ان ها را نیز انتخاب کنید و تمرین خود را شروع کنید.
نتیجه گیری
در این قسمت از آموزش شما را با لابراتور BWA که یک وب اپلیکیشن بسیار محبوب است آشنا کرده ایم و در ادامه نحوه نصب و راه اندازی این لابراتور را برای شما شرح داده ایم و در نهایت آموزش را با نحوه کار و نحوه تمرین تست نفوذ با استفاده از این وب اپلیکیشن خاتمه داده ایم .
موفق باشید.
1 دیدگاه در “BWA چیست ؟ + اموزش نصب و استفاده از وب اپلیکیشن ان”
درود و خسته نباشید خوب هستید ؟
ببخشید من یک مشکل دارم که وقتی آیپی رو می زنم و وارد مرورگر می کنم ، هیچ صفحه ای لود نمی شه . برای این مشکل چه کاری باید انجام بدم ؟