1.什么是OWASP Security Shepherd
OWASP Security Shepherd(安全牧羊人)靶場,是OWASP Broken Web Apps中集成的一個靶場,開發語言JAVA。OWASP是一個開源的、非盈利的全球性安全組織,致力于應用軟件的安全研究。我們的使命是使應用軟件更加安全,使企業和組織能夠對應用安全風險做出更清晰的決策。目前OWASP全球擁有250個分部近7萬名會員,共同推動了安全標準、安全測試工具、安全指導手冊等應用安全技術的發展。近幾年,OWASP峰會以及各國OWASP年會均取得了巨大的成功,推動了數以百萬的IT從業人員對應用安全的關注以及理解,并為各類企業的應用安全提供了明確的指引。
2.如何本地開發調試
1.下載原代碼
github的地址:[https://github.com/OWASP/SecurityShepherd/tree/v3.1](https://github.com/OWASP/SecurityShepherd/tree/v3.1)
這里我們使用的是最新的3.1版本的源碼
2.下載需要運行的環境
github上有我們手動部署的說明書[https://github.com/OWASP/SecurityShepherd/wiki/Manual-Shepherd-Setup](https://github.com/OWASP/SecurityShepherd/wiki/Manual-Shepherd-Setup)
由于是java編寫的,所以我們需要先搭建java開發環境,這里就不展開了,搭建好后。需要按照說明,下載tomcat8.5和MariaDb Server 10.6 .(必須是10.6版本,不然啟動后連不上數據庫)。我們使用的是idea啟動,所以集成一下tomcat8.5,選擇你寫的地址
image.png
然后運行,就會自動打開網站讓你選擇db,就是MariaDb Server 10.6的地址(一定要10.6),這里我們選擇提前下載到本地運行
image.png
3.注冊賬號
選擇完數據庫連接后,就要注冊一個管理員的賬號密碼
image.png
4.管理員功能
開啟"作弊"模式
管理員后臺配置:
Admin->Configuration->Configure Cheat Sheets
可以允許在做題時,直接查看答案提示信息
開啟積分功能
Admin->Configuration->Scoreboard Configuration
每個題都有分數,作對了獲得對應分數
修改做題模式
Admin->Module Management->Change Module Layout
有CTF模式: 必須做完當前題 才能查看下一個題
Tournament模式: 會顯示所有題, 可自由選擇
Open Floor模式: 分為課程和挑戰 兩個大的級別進行展示
開/關 某個題
Admin->Module Management->Open and Close Modules
選中對應的題(支持多選)可以打開或關閉對應的題
開/關 某類題
Admin->Module Management->Open or Close by Category
選中對應的題(支持多選)可以打開或關閉對應的題
創建新用戶
- 必須先創建個分類
Admin->User Management->Create Class - 在創建用戶
Admin->User Management->Add Players - 批量刪除用戶
默認mysql賬號和密碼: root/CowSaysMoo
根據分類刪除用戶
delete from users where classId in (select classId from class where className = '2023-6');
update users set userPass=SHA2('admin',512) where classId in (select classId from class where className = '2023-6');