Le pentesting des applications WEB fait partie de la phase du test de
sécurité dynamique dans un cycle de vie SSDLC. Pour un objectif pédagogique, il existe des plateformes d’apprentissage pour le pentesting des applications WEB offrant des applications délibérément vulnérables et des niveaux de défis différents suivant les niveaux de sécurité du code (low,medum,high) et suivant les vulnérabilités WEB selon la classification OWASP(SQL injection, XSS, CSRF...) On peut citer deux principales plateformes open source de test: OWASP WEBGOAT et DVWA Damn Vulnerable Web App (DVWA) est une application web PHP/MySQL vulnérable WebGoat est un outil didactiqueproposé par OWASP. Il s’agît d’une application WEB J2EE vulnérable destinée à l’enseignement de manière interractive.
Dr. Nihel Ben Youssef Pentesting 3 / 15
Damn Vulnerable Web App (DVWA)
Damn Vulnerable Web App (DVWA) est une application web
PHP/MySQL vulnérable
Dr. Nihel Ben Youssef Pentesting 4 / 15
Damn Vulnerable Web App (DVWA) Configuration
Some configurations (phi.ini, config.inc.php,... ) should be updated to
setup DVWA
Dr. Nihel Ben Youssef Pentesting 5 / 15
Damn Vulnerable Web App (DVWA)- Tautology SQL injection
Dr. Nihel Ben Youssef Pentesting 6 / 15
Damn Vulnerable Web App (DVWA)- Unin SQL injection
Dr. Nihel Ben Youssef Pentesting 7 / 15
Damn Vulnerable Web App (DVWA)- Union SQL injection
Dr. Nihel Ben Youssef Pentesting 8 / 15
Damn Vulnerable Web App (DVWA)- Union SQL injection
Dr. Nihel Ben Youssef Pentesting 9 / 15
Damn Vulnerable Web App (DVWA)- Command SQL injection
Dr. Nihel Ben Youssef Pentesting 10 / 15
Damn Vulnerable Web App (DVWA)- Command SQL injection(Vulnerable Source Code)
Dr. Nihel Ben Youssef Pentesting 11 / 15
Damn Vulnerable Web App (DVWA)- Stored XSS injection
Dr. Nihel Ben Youssef Pentesting 12 / 15
OWASP WebGoat- Official Docker Image WebGoat est un outil didactique proposé par OWASP. Il s’agît d’une application WEB J2EE vulnérable destinée à l’enseignement de manière interactive. Parmi les aproches d’installation, on peut se préunir d’une image Docker virtualisée de OWASP Webgoat (https://hub.docker.com/r/webgoat/webgoat-8.0)