KALI安全渗透测试学习系列(六)-web渗透测试靶机-OWASP BAP

OWASP BAP全称owasp broken web applications 前面OWASP 是组织机构名称，是一个致力于 Web 应用程序安全的国际非营利组织。OWASP 的核心原则之一是其所有材料都可以在其网站上免费获取和轻松访问，从而使任何人都可以提高自己的 Web 应用程序的安全性。它提供的材料包括文档、工具、视频和论坛。其最著名的项目是 OWASP Top 10，这是一份定期更新的报告，概述了 Web 应用程序安全的安全问题，并重点关注 10 个最关键的风险。该报告由来自世界各地的安全专家团队整理而成。

首先从官网下载测试靶机，里面包含了大部分web漏洞。
https://sourceforge.net/projects/owaspbwa/files/1.2/

同样，我们还是下载ova版本，后续直接导入VMworkstation中运行。

部署方式前面已经多次提及OVA模板导入方式，本次就不重复了，有需要的朋友可以去看前面的文章。

靶机部署成功后

里面有一些提示信息，如开头说这个测试案例里有很多安全漏洞，建议网络使用host only 或者nat 方式，不建议使用桥接或者复制物理连接方式，以免对运行网络造成安全隐患。下一篇梳理一下VM虚拟机的每种网络连接用途及配置。

还有一些信息比较有用，本机的ip地址及用户名密码。还有就是所有本机的测试案例用到的用户名密码。

输入ip地址打开靶机里面包含的web项目，几乎是web测试全家桶了。