Applicazioni Java vulnerabili? [chiuso]

5

Sto cercando alcune applicazioni basate su Java vulnerabili open source / free. Può essere un'applicazione web, un'applicazione desktop o qualsiasi altra. Ho bisogno che facciano degli esperimenti nel mio lavoro di ricerca. Potrebbero essere di dimensioni molto piccole o medie, ma è bello se è come l'applicazione del mondo reale.

Le vulnerabilità possono includere attacchi XSS, accesso a dati non autorizzati, SQL-injection ecc.

Ho già provato le applicazioni OWASP ma ne ho bisogno ancora. Qualcuno potrebbe suggerire dove posso trovare tali applicazioni Java vulnerabili / sfruttabili?

    
posta Ragini 12.09.2012 - 17:29
fonte

3 risposte

7

Se non conosci la caccia, ti consiglio di iniziare con WebGoat o Damn Vulnerable WebApp (DVWA). Questo perché inquadra perfettamente ogni vulnerabilità, basta puntare e sparare. Puoi praticare lo sfruttamento e lavorare con una vera vulnerabilità. "Il campo di tiro"

Esistono applicazioni reali che sono state intenzionalmente scritte come non sicure (come la serie Hacme , che è sotto SASS Tools). Il Dojo ha una raccolta di queste app caricate su una VM e strumenti per controllarle. Questo è davvero il 2 ° passo perché ora devi trovare dove sparare. "Caccia alla fattoria"

Il terzo passo è uscire e trovare una vera applicazione. Cerca github / sourceforge / bitbucket / ect per applicazioni web che hanno meno di un anno e non sono così popolari. Queste app possono variare, ma molto spesso saranno molto insicure. "Caccia allo stato selvatico"

Dopodiché inizia a lavorare su applicazioni più popolari, ottieni numeri CVE, scrivi codice di exploit ed esplora le tecniche di sfruttamento di recente sviluppo: exploit-db.com. "Diventa più selvaggio ..."

    
risposta data 12.09.2012 - 18:30
fonte
2

Controlla Stanford SecuriBench . Si tratta di una raccolta di applicazioni Web Java open-source che hanno avuto una varietà di vulnerabilità e che sono state utilizzate in alcuni documenti di ricerca precedenti per valutare gli strumenti di ricerca. La collezione è vecchia (2005?) Ma potrebbe comunque essere utile per i tuoi scopi.

Il benchmark include sia le applicazioni artificiali progettate per mostrare alcune vulnerabilità (come WebGoat), sia alcune applicazioni realistiche che sono state prese dalla vita reale e non sono artificiali. Penso che quest'ultimo sia probabilmente più utile per la valutazione degli strumenti, poiché è più probabile che rappresentino schemi di codifica in applicazioni reali.

    
risposta data 17.09.2012 - 01:42
fonte
2

Dai un'occhiata a SpringMVC jPetStore ha un certo numero di vulnerabilità.

Vedi questo link per dettagli, esempi, esempi di codice e correzioni

    
risposta data 16.09.2012 - 18:24
fonte

Leggi altre domande sui tag