關于TIWAP
TIWAP是一款包含大量漏洞的Web應用滲透測試學習工具,同時也開始一個Web安全測試平臺,該工具基于Python和Flask實現其功能,可以幫助一些信息安全愛好者或測試人員學習和了解各種類型的Web安全漏洞。該工具的靈感來源于DVWA,開發者已經盡最大努力重新生成了各種Web漏洞。
該工具僅用于教育目的,我們強烈建議廣大用戶在虛擬機上安裝和使用TIWAP,而不要將其安裝在內部或外部服務器中。
工具安裝&配置
為了幫助廣大用戶輕松快捷地安裝和使用TIWAP,我們已經幫助大家完成了項目的配置哦工作,我們只需要在本地系統上安裝好Docker即可。
安裝好Docker之后,我們就可以運行下列命令來下載和安裝TIWAP了:
- git clone https://github.com/tombstoneghost/TIWAP
- cd TIWAP
- docker-compose up
注意:這種工具安裝方式僅支持在Linux平臺上使用,針對Windows平臺的兼容問題現在正在解決中。
實驗環境啟動之后,我們就可以使用默認憑證進行登錄了:
- 用戶名:admin
- 密碼:admin
工具技術棧
- 前端:HTML、CSS和JavaScript
- 后端:Python - Flask
- 數據庫:SQLite3和MongoDB
- 漏洞信息
- 當前版本的TIWAP實驗環境中包含了二十種安全漏洞,具體如下所示:
- SQL注入
- Blind SQL注入
- NoSQL注入
- Command注入
- 業務邏輯漏洞
- 敏感數據泄露
- XML外部實體
- 安全錯誤配置
- 反射型XSS
- 存儲型XSS
- 基于DOM的XSS
- HTML注入
- 不安全的證書驗證
- 硬編碼Credentials
- 不安全的文件上傳
- 暴力破解
- 目錄遍歷
- 跨站請求偽造(CSRF)
- 服務器端請求偽造(SSRF)
- 服務器端模板注入(SSTI)
其中,每一種漏洞都提供了三種等級的漏洞利用難度,即低級Low、中級Medium和困難Hard,我們可以根據自己的需求在設置頁面中進行相應的配置。
許可證協議
本項目的開發與發布遵循MIT開源許可證協議。
項目地址
TIWAP:【GitHub傳送門】
原文鏈接:https://www.freebuf.com/articles/web/306459.html
