1.什么是OWASP Security Shepherd
OWASP Security Shepherd(安全牧羊人)靶场,是OWASP Broken Web Apps中集成的一个靶场,开发语言JAVA。OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。我们的使命是使应用软件更加安全,使企业和组织能够对应用安全风险做出更清晰的决策。目前OWASP全球拥有250个分部近7万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。近几年,OWASP峰会以及各国OWASP年会均取得了巨大的成功,推动了数以百万的IT从业人员对应用安全的关注以及理解,并为各类企业的应用安全提供了明确的指引。
2.如何本地开发调试
1.下载原代码
github的地址:[https://github.com/OWASP/SecurityShepherd/tree/v3.1](https://github.com/OWASP/SecurityShepherd/tree/v3.1)
这里我们使用的是最新的3.1版本的源码
2.下载需要运行的环境
github上有我们手动部署的说明书[https://github.com/OWASP/SecurityShepherd/wiki/Manual-Shepherd-Setup](https://github.com/OWASP/SecurityShepherd/wiki/Manual-Shepherd-Setup)
由于是java编写的,所以我们需要先搭建java开发环境,这里就不展开了,搭建好后。需要按照说明,下载tomcat8.5和MariaDb Server 10.6 .(必须是10.6版本,不然启动后连不上数据库)。我们使用的是idea启动,所以集成一下tomcat8.5,选择你写的地址
image.png
然后运行,就会自动打开网站让你选择db,就是MariaDb Server 10.6的地址(一定要10.6),这里我们选择提前下载到本地运行
image.png
3.注册账号
选择完数据库连接后,就要注册一个管理员的账号密码
image.png
4.管理员功能
开启"作弊"模式
管理员后台配置:
Admin->Configuration->Configure Cheat Sheets
可以允许在做题时,直接查看答案提示信息
开启积分功能
Admin->Configuration->Scoreboard Configuration
每个题都有分数,作对了获得对应分数
修改做题模式
Admin->Module Management->Change Module Layout
有CTF模式: 必须做完当前题 才能查看下一个题
Tournament模式: 会显示所有题, 可自由选择
Open Floor模式: 分为课程和挑战 两个大的级别进行展示
开/关 某个题
Admin->Module Management->Open and Close Modules
选中对应的题(支持多选)可以打开或关闭对应的题
开/关 某类题
Admin->Module Management->Open or Close by Category
选中对应的题(支持多选)可以打开或关闭对应的题
创建新用户
- 必须先创建个分类
Admin->User Management->Create Class - 在创建用户
Admin->User Management->Add Players - 批量删除用户
默认mysql账号和密码: root/CowSaysMoo
根据分类删除用户
delete from users where classId in (select classId from class where className = '2023-6');
update users set userPass=SHA2('admin',512) where classId in (select classId from class where className = '2023-6');
网友评论