CodeEvent/OWASP-Pentest-Suite
GitHub: CodeEvent/OWASP-Pentest-Suite
一份覆盖 OWASP Top 10 多类漏洞的 Web 渗透测试课程项目,详细记录了从 SQL 注入到 XSS、CSRF、2FA 绕过等攻击在靶场环境中的完整复现过程。
Stars: 0 | Forks: 0
# OWASP Web 应用程序渗透测试
## 概述
本仓库记录了两个渗透测试课程项目,涵盖了对三个 intentionally vulnerable 目标进行的八种不同的 Web 应用程序攻击技术。所有测试均使用行业标准工具在隔离的 VirtualBox 环境中进行。
**目标:** OWASP Juice Shop · OWASP BWA Mutillidae II · OWASP Security Shepherd
**攻击者平台:** Kali Linux (192.168.2.10)
## Part B — 高级漏洞利用 (44/50)
| 攻击 | 目标 | OWASP Top 10 | 工具 |
|--------|--------|--------------|-------|
| [通过 SQL 注入绕过 2FA](./2FA-Bypass-via-SQL-Injection/) | OWASP Juice Shop | A03: 注入 | Burp Suite, SQLi, Google Authenticator |
| [XSS 与会话劫持](./XSS-and-Session-Hijacking/) | Mutillidae II | A03: XSS | Burp Suite, JavaScript payloads |
| [CSRF 漏洞利用](./CSRF-Exploitation/) | Security Shepherd | A01: 访问控制失效 | Burp Suite, HTML payload 构建 |
| [日志记录与监控失效](./Logging-Monitoring-Failures/) | Ubuntu VM | A09: 安全日志记录失效 | OSSEC HIDS v3.7.0, Apache, Web UI |
## Part A — 核心漏洞 (45/50)
| 攻击 | 目标 | OWASP Top 10 | 工具 |
|--------|--------|--------------|-------|
| [访问控制失效](./Broken-Access-Control/) | Mutillidae II | A01: 访问控制失效 | Burp Suite, Firefox |
| [加密失败](./Cryptographic-Failures/) | Mutillidae II | A02: 加密失败 | Wireshark, HTTP 拦截 |
| [SQL 注入身份验证绕过](./SQL-Injection-Auth-Bypass/) | Mutillidae II | A03: 注入 | Burp Suite Repeater, SQLi payloads |
| [安全配置错误](./Security-Misconfiguration/) | Mutillidae II | A05: 安全配置错误 | Burp Suite Intruder, 凭证枚举 |
## 环境
```
[Kali Linux] 192.168.2.10 — Attacker (Burp Suite, tools)
[OWASP BWA] 192.168.2.11 — Mutillidae II target
[OWASP BWA] 192.168.2.12 — Mutillidae II (Part B)
[Juice Shop] 192.168.2.10:3000 — Node.js app on Kali
[Sec. Shepherd] 172.20.10.2 — CSRF challenge platform
```
网络:VirtualBox NAT 网络 (所有 VM 均已隔离)
## 工具与技术
| 类别 | 工具 |
|----------|-------|
| **代理与拦截** | Burp Suite Community Edition v2025.2.4 |
| **Web 目标** | OWASP Juice Shop, Mutillidae II, Security Shepherd |
| **攻击技术** | SQLi, Union-Based Injection, XSS (Stored/Reflected), CSRF, 2FA Bypass |
| **监控与检测** | OSSEC HIDS v3.7.0, Apache2, OSSEC Web UI |
| **流量分析** | Wireshark, Browser DevTools |
| **平台** | Kali Linux, VirtualBox, Node.js, PHP/Apache |
## OWASP Top 10 覆盖范围
- **A01** — 访问控制失效
- **A02** — 加密失败
- **A03** — 注入 (SQL Injection, XSS)
- **A05** — 安全配置错误
- **A09** — 安全日志记录与监控失效
标签:2FA绕过, Broken Access Control, Burp Suite, CISA项目, CSRF, HTML Payload, HTTP拦截, JavaScript Payload, meg, MITM代理, Mutillidae II, OSSEC, OWASP BWA, OWASP Juice Shop, OWASP Top 10, Security Shepherd, VirtualBox, Web渗透测试, Wireshark, XSS, 主机入侵检测, 信息安全, 加密失败, 双因素认证绕过, 反取证, 句柄查看, 安全评估, 安全配置错误, 日志监控失效, 模糊测试, 渗透测试报告, 漏洞情报, 网络安全, 网络安全实验, 虚拟靶场, 课程作业, 越权访问, 跨站脚本攻击, 跨站请求伪造, 隐私保护