基础安全测试 - owasp shepherd CN项目
作为开发和测试人员,如果想构建安全的系统,首先需要在实际web项目能够中查找到对应漏洞,进一步加深对漏洞的理解。
owasp shepherd CN 项目就是一套集合了常见安全漏洞的web系统,希望结合真实存在的安全漏洞,让开发和测试同学提高安全意识,进而打造安全系统
owasp shepherd CN 是一套集成了常见web漏洞的系统,每个页面是对应一个安全漏洞,包括安全漏洞的介绍,用户需要根据提示信息利用漏洞,找到通关密钥, 提交到系统,如果提交正确,表示对该漏洞已经完整掌握,然后进入到下一个页面/漏洞知识点。
项目介绍
owasp shepherd CN 是owasp shepherd 项目的中文版本, 致力于帮助研发和测试同学提高web安全意识, 开发安全的web系统 对原项目修改如下:
- 对shepherd未汉化的题说明信息,进行汉化
- 对shepherd理解起来比较困难的题,进行修改,让使用者更加容易理解题意
- 仅保留了适合从事或将来从事开发和测试同学的基础web安全知识
- 限制新注册账号使用时间,督促参与者尽快完成学习过程
- 提供一套完整的学习笔记记录,包括漏洞产生的原因,源代码解析,漏洞修复建议等
项目对象
本项目是最基本的常见web安全漏洞实例,适合有开发基础的任何同学使用,包括:
- 在职web系统开发及测试同学
- 在校学生
- 对安全基础知识感兴趣的任何同学
项目目标
- 结合具体实例系统,帮助开发、测试同学掌握常见的web安全漏洞,提升安全意识
- 真正明白安全漏洞产生原因及防护方法
- 将安全开发知识应用到日常工作中,打造安全系统
项目收益
- 深刻理解"一切用户的输入都可能是有害的", 学习使用代理工具, 修改浏览器发送的HTTP请求包
- 掌握常见的web安全漏洞(基本涵盖了OWASP十大web应用风险)的危害及测试方法
- 结合示例项目源代码,加深理解安全漏洞产生原因,及修复方案,进而打造安全系统
项目课程
主要使用 Field Training 和 Private两个等级的安全漏洞,列表如下
- SQL注入(SQL Injection)
- SQL注入中级版(SQL Injection Challenge One)
- 跨站脚本漏洞(Cross Site Scripting)
- 跨站脚本初级版(Cross Site Scripting 1)
- 安全错误配置(Security Misconfiguration)
- 没有限制URL访问(Failure to Restrict URL Access)
- 没有限制URL访问中级版(Failure To Restrict URL Access Challenge 1)
- 失效的身份验证和会话管理(Broken Authentication and Session Management)
- 会话管理中级版(Session Management Challenge One)
- 跨站请求伪造(Cross Site Request Forgery)
- 不安全加密存储(Insecure Cryptographic Storage)
- 不安全加密存储中级(Insecure Cryptographic Storage Challenge 1)
- 不安全直接对象引用(Insecure Direct Object References)
- 不不安全直接对象引用中级版(Insecure Direct Object References Challenge One)
- 失效的数据验证(Poor Data Validation)
- 失效的数据验证中级版(Poor Validation One)
每个课程,都有详细介绍,帮助参与者学习知识点(适合零基础同学)
当参与者多次闯关失败,则会显示提示信息,进一步帮助参与者学习和理解课程
项目支持
该项目是优秀的学习材料,非常适合开发和测试同学进行学习,使用场景包括但不限于
- 各大高校软件开发相关专业同学
- 各公司开发和测试同学
如果您是老师/公司技术人员想本地化部署本项目,请联系我们
如果您对本项目有任何建议,请联系我们
owasp社区在持续的更新和维护,本工作室致力于维护该项目的中文版本!
致谢
感谢owasp shepherd 项目组,开发和维护该套学习材料
owasp shepherd github
owasp shepherd project