有关TIWAP
TIWAP是一款包括很多漏洞的Web运用网站渗透测试学习培训工具,与此同时也逐渐一个Web安全测试平台,该工具根据Python和Flask完成其作用,可以幫助一些网络信息安全发烧友或测试工程师学习培训和掌握各种各样的Web安全漏洞。该工具的设计灵感来自DVWA,开发人员早已尽最大的勤奋再次转化成了各种各样Web漏洞。
该工具仅用以文化教育目地,大家强烈建议众多消费者在虚似手机上下载和应用TIWAP,而不能将其组装在内部结构或外界网络服务器中。
工具安裝&配备
为了更好地协助众多客户轻轻松松快速地安裝和应用TIWAP,大家早已协助大伙儿完成了新项目的配备哦工作中,大家只必须在当地系统软件上安裝好Docker就可以。
安裝好Docker以后,大家就可以运作以下指令来免费下载和安裝TIWAP了:
留意:这类工具安裝方法仅适用在Linux平台上应用,对于Windows平台的兼容性问题如今已经处理中。
试验自然环境运行以后,大家就可以应用默认设置凭据开展登陆了:
- 登录名:admin
- 登陆密码:admin
工具技术栈
- 前面:HTML、CSS和JavaScript
- 后面:Python - Flask
- 数据库查询:SQLite3和MongoDB
- 漏洞信息内容
- 现阶段版本号的TIWAP试验自然环境中包括了二十种安全性漏洞,详细如下所显示:
- SQL引入
- Blind SQL注入
- NoSQL引入
- Command注入
- 领域模型漏洞
- 隐秘数据泄漏
- XML外界实体线
- 安全性不正确配备
- 反射面型XSS
- 储存型XSS
- 根据DOM的XSS
- HTML引入
- 不安全的资格证书认证
- 硬编码Credentials
- 不安全的上传文件
- 暴力破解密码
- 文件目录解析xml
- 跨站要求仿冒(CSRF)
- 服务端要求仿冒(SSRF)
- 服务端模版引入(SSTI)
在其中,每一种漏洞都给予了三种级别的漏洞运用难度系数,即低等Low、初级Medium和艰难Hard,我们可以按照自身的要求在设定界面中开展相对应的配备。
许可证书协议书
本工程项目的研发与公布遵循MIT开源系统许可证书协议书。
新项目详细地址
TIWAP:【GitHub传送器】