Applicazioni Java vulnerabili? [chiuso]

Se non conosci la caccia, ti consiglio di iniziare con WebGoat o Damn Vulnerable WebApp (DVWA). Questo perché inquadra perfettamente ogni vulnerabilità, basta puntare e sparare. Puoi praticare lo sfruttamento e lavorare con una vera vulnerabilità. "Il campo di tiro"

Esistono applicazioni reali che sono state intenzionalmente scritte come non sicure (come la serie Hacme , che è sotto SASS Tools). Il Dojo ha una raccolta di queste app caricate su una VM e strumenti per controllarle. Questo è davvero il 2 ° passo perché ora devi trovare dove sparare. "Caccia alla fattoria"

Il terzo passo è uscire e trovare una vera applicazione. Cerca github / sourceforge / bitbucket / ect per applicazioni web che hanno meno di un anno e non sono così popolari. Queste app possono variare, ma molto spesso saranno molto insicure. "Caccia allo stato selvatico"

Dopodiché inizia a lavorare su applicazioni più popolari, ottieni numeri CVE, scrivi codice di exploit ed esplora le tecniche di sfruttamento di recente sviluppo: exploit-db.com. "Diventa più selvaggio ..."

Controlla Stanford SecuriBench . Si tratta di una raccolta di applicazioni Web Java open-source che hanno avuto una varietà di vulnerabilità e che sono state utilizzate in alcuni documenti di ricerca precedenti per valutare gli strumenti di ricerca. La collezione è vecchia (2005?) Ma potrebbe comunque essere utile per i tuoi scopi.

Il benchmark include sia le applicazioni artificiali progettate per mostrare alcune vulnerabilità (come WebGoat), sia alcune applicazioni realistiche che sono state prese dalla vita reale e non sono artificiali. Penso che quest'ultimo sia probabilmente più utile per la valutazione degli strumenti, poiché è più probabile che rappresentino schemi di codifica in applicazioni reali.

Dai un'occhiata a SpringMVC jPetStore ha un certo numero di vulnerabilità.

Vedi questo link per dettagli, esempi, esempi di codice e correzioni