这是一款仍在积极研发中的软件,如果你想要现在测试它现有漏洞,需要确保自己添加了Express框架。
DVNA简介
首先,希望大家多多支持UX/UI,帮助我们修复bug和优化文档。
DVNA(Damn Vulnerable Node Application),它是一款由Node.js打造的知名WEB漏洞测试平台,或许有些朋友已经使用过。它是用来给使用Node的WEB开发人员演示如何进行安全编码,以及让网络安全爱好者进行夺旗比赛的平台。其中,这个平台里包含常见的WEB漏洞,并且分级成不同层次。
安装过程
这里我们采用的是Ubuntu 15.10平台,首先你需要装好git,它可以管理node的版本:
sudo apt-get install git wget -qO- https://raw.github.com/creationix/nvm/master/install.sh | sh source ~/.bashrc nvm install 5.3.0 nvm use 5.3.0 git clone https://github.com/quantumfoam/DVNA.git cd DVNA/ npm install express node vulnerabilities/command_injection.js navigate to http://localhost:6666/
装好软件以后,就去阅读源码文件,想想如何利用那些漏洞吧。当然,不是所有的漏洞需要Express框架。在某种意义上来讲,所有的漏洞都在同一UI下,可以根据漏洞提示信息去访问每个级别的漏洞。
现在每个漏洞类别的测试内容有些重复,这有点枯燥乏味,我们还并没有为漏洞挑战单独弄个UI模板(不过应该快了)。
免责声明
我们并不为任何使用DVNA的人负责,此前已经明确指出它不应该用在恶意用途。我们给予了用户警告,并且采取了措施阻止用户把DVNA安装到用于生产环境的WEB服务器上。如果你的WEB服务器因为DVNA被人黑了,我们不会为此负责。
许可
本文件是DVNA的一部分。
DVNA是一款免费软件:你可以根据GNU GPL里的条款,在此版本或者以后的版本里,对它进行提交修改。
我们希望这款软件会有用,但不对它做任何保证,详情请参阅GNU GPL条款。
本项目文件夹里附上了GNU GPL条款的副本,如果里面没有的话,请参阅http://www.gnu.org/licenses/。