shooting range

在網路安全領域,shooting range(靶場)是一個專門設計的環境,用於模擬真實的網路攻擊和防禦場景。其目的是為安全專業人員提供一個安全、受控的空間來測試和提升他們的技能。以下是對網路靶場的詳細解釋:

  1. 訓練和教育:
    • 培訓目的:網路靶場常用於培訓新手和有經驗的安全專家。它們提供一個實踐環境,安全專家可以在其中學習和練習如何檢測、響應和防禦各種類型的網路攻擊。
    • 模擬真實攻擊:通過模擬現實中的攻擊場景,靶場幫助學員更好地理解攻擊者的行為和策略,從而提高他們的防禦能力。
  2. 測試和評估:
    • 新工具和技術:安全團隊可以在靶場中測試新的安全工具和技術,以評估它們的有效性和可靠性,而不會影響實際生產環境。
    • 漏洞評估:靶場可以用於識別和修復系統中的漏洞,幫助組織在真正受到攻擊之前提高其安全態勢。
  3. 競賽和演練:
    • CTF(Capture The Flag)競賽:靶場經常用於CTF競賽,這是一種競賽形式,參賽者需要在模擬環境中攻破目標系統或者防守自己的系統,以獲得積分。
    • 紅隊/藍隊演練:靶場為紅隊(攻擊團隊)和藍隊(防禦團隊)提供了一個模擬環境,雙方可以在其中進行對抗,提升實際作戰能力。
  4. 研究和開發:
    • 攻擊研究:研究人員可以在靶場中開發和測試新的攻擊技術和方法,了解攻擊者可能採用的最新策略。
    • 防禦機制開發:安全專家可以在靶場中設計和驗證新的防禦機制,確保其在面對真實攻擊時的有效性。

網路靶場的設計通常包括虛擬機、容器、模擬網路設備和各種操作系統,形成一個盡可能接近真實世界的網路環境。這些環境可以靈活配置,以適應不同類型的培訓、測試和研究需求。


相關資源


OWASP Juice Shop

一個有很多漏洞的線上商城,完全使用Javascript開發,包含所有的OWASP Top 10漏洞以及其他的高危險漏洞。

官網介紹 https://owasp.org/www-project-juice-shop

docker下載 https://hub.docker.com/r/bkimminich/juice-shop

解題說明
二星難度所有題解 https://www.freebuf.com/articles/web/255873.html
三星難度所有題解 https://www.freebuf.com/articles/web/256125.html
四星難度所有題解 https://www.jianshu.com/p/f16792ba2c58 
練習手冊 https://pwning.owasp-juice.shop/companion-guide/latest/appendix/solutions.html#_overwrite_the_legal_information_file
所有題目解說 https://github.com/refabr1k/owasp-juiceshop-solutions/tree/master


bWAPP

Buggy Web Application,這是一個免費開源的Web應用,包含有OWASP Top10中的100多個常見安全問題

題目可選難度

  • Low級別:不經過任何處理的接收用戶數據
  • Medium級別:黑名單機制,轉義了部分危險數據
  • High級別:全部轉義,或者白名單機制

low級別題目解說
https://www.twblogs.net/a/5d668641bd9eee541c3351bc

refer
https://www.twblogs.net/a/5cbeb413bd9eee3971138e35
https://www.itread01.com/content/1551617968.html


日本XSS練習站

http://xss-quiz.int21h.jp/

共有30個stage可以打,每個層級的防禦手段都不一樣

攻略參考
http://www.atomsec.org/%E6%B8%B8%E6%88%8F/xss-challenges%E9%A2%98%E7%9B%AE%E6%94%BB%E7%95%A5/
http://sunu11.com/2017/07/20/12/
http://www.atomsec.org/%E6%B8%B8%E6%88%8F/xss-challenges%E9%A2%98%E7%9B%AE%E6%94%BB%E7%95%A5/

refer
https://blog.davidh83110.com/%E8%B3%87%E8%A8%8A%E5%AE%89%E5%85%A8/%E9%A7%AD%E5%AE%A2%E6%8A%80%E8%A1%93/owasp%20top10/2016/10/10/xss.html