¿Aplicaciones Java vulnerables? [cerrado]

4

Estoy buscando algunas aplicaciones basadas en Java de código abierto / libre y vulnerables. Puede ser una aplicación web, una aplicación de escritorio o cualquier otra. Los necesito para hacer algunos experimentos en mi trabajo de investigación. Pueden ser de tamaño muy pequeño o mediano, pero es bueno si es como una aplicación del mundo real.

Las vulnerabilidades pueden incluir ataques XSS, acceso a datos no autorizados, inyección de SQL, etc.

Ya probé aplicaciones OWASP pero necesito más. ¿Alguien podría sugerir dónde puedo encontrar aplicaciones Java vulnerables / explotables?

    
pregunta Ragini 12.09.2012 - 17:29
fuente

3 respuestas

7

Si eres nuevo en la caza, recomiendo comenzar con WebGoat o Damn Vulnerable WebApp (DVWA). Esto se debe a que enmarca bien cada vulnerabilidad, solo tienes que apuntar y disparar. Puedes practicar la explotación, y trabajar con una vulnerabilidad real. "El campo de tiro"

Hay aplicaciones reales que fueron escritas intencionalmente para ser inseguras (como serie Hacme , que está bajo las herramientas SASS). El Dojo tiene una colección de estas aplicaciones cargadas en una máquina virtual, así como herramientas para auditarlas. Este es realmente el segundo paso porque ahora tienes que encontrar dónde disparar. "Cazar en la granja"

El tercer paso es salir y encontrar una aplicación real. Busque github / sourceforge / bitbucket / ect para aplicaciones web que tengan menos de un año y que no sean tan populares. Estas aplicaciones variarán, pero la mayoría de las veces serán muy inseguras. "Cazar en la naturaleza"

Después de eso, comience a trabajar hacia aplicaciones más populares, obtenga los números CVE, escriba el código de explotación y explore las nuevas técnicas de explotación desarrolladas: exploit-db.com. "Se vuelve más salvaje ..."

    
respondido por el rook 12.09.2012 - 18:30
fuente
2

Consulte Stanford SecuriBench . Es una colección de aplicaciones web Java de código abierto que han tenido una variedad de vulnerabilidades y que se utilizaron en algunos trabajos de investigación anteriores para evaluar las herramientas de investigación. La colección es antigua (2005?), Pero podría ser útil para sus propósitos.

El punto de referencia incluye aplicaciones artificiales que fueron diseñadas para mostrar algunas vulnerabilidades (como WebGoat), así como algunas aplicaciones realistas que se tomaron de la vida real y no son artificiales. Creo que este último es probablemente más útil para la evaluación de herramientas, ya que es más probable que sean representativos de los patrones de codificación en aplicaciones reales.

    
respondido por el D.W. 17.09.2012 - 01:42
fuente
2

Eche un vistazo a SpringMVC jPetStore ya que tiene varias vulnerabilidades agradables.

Consulte este enlace para obtener detalles, ejemplos, ejemplos de códigos y correcciones

    
respondido por el Dinis Cruz 16.09.2012 - 18:24
fuente

Lea otras preguntas en las etiquetas