利用Python進行web滲透測試（三）：測試環境搭建

文章首發：利用Python進行web滲透測試（三）：測試環境搭建 - 州的先生zmister.com|個人博客

本篇將會涉及：

• 安裝虛擬機軟體和實驗用的虛擬機WAPP
• 一個脆弱的web應用：scruffy bank
• 一個文本編輯器——Atom
• 一些關於滲透測試的警告

一、安裝虛擬機軟體——Virtualbox

在Windows平台下，主流的虛擬機軟體有兩個Vmware以及Virtualbox。其中VMware為商業產品，Virtualbox為開源的免費產品，兩個各有各自的特色，但是為了版權及其他原因，在此我們使用Virtualbox。

Virtualboox的官網為https://www.virtualbox.org/

image.png

我們點擊「DownloadVirtualBox」，進行到下載頁面：

選擇「Windows hosts」，將安裝文件下載下來並安裝好。

run_vb.gif

二、下載並運行虛擬機

我們使用的虛擬機來自於packet的WAPP，總大小有6G多，壓縮後2.3G，已經上傳到了百度網盤：http://pan.baidu.com/s/1hrC4rha，密碼關注「州的先生」公眾號後，回復關鍵詞「wapp」可以獲取。

解壓之後，如圖所示：

我們使用Virtualbox打開Packt.vbox：

然後運行它：

可以發現，其實質是一個類ubuntu的操作系統。

三、ScruffyBank

這個虛擬機中內置了一個Web服務，其上運行著一個包含各種漏洞的脆弱的Web應用：scruffybank。

其模擬的是一個銀行網站，而這也是我們接下來滲透測試的主要戰場。

四、Atom編輯器

Atom編輯器是有Github出品的一款基於Web技術的文本編輯器，我們打開來看看：

打開Atom編輯器後，顯示的是一個默認的Python文件，內容為對一個網站進行post請求。

五、最後的提醒

• 我們接下來進行的操作和測試，通常都不允許在未經所屬公司允許的情況下進行。
• 在我國（其他很多國家亦是），這種未經許可的滲透測試是違法的！（不管你是白帽子還是什麼帽子，詳見「世紀佳緣」事件）
• 如果想要練習學到的東西，一定要使用測試環境來進行，切勿未經許可進行非法的滲透測試！
• 如果得到許可進行滲透測試工作，一定要得到書面的許可！（保留證據就是保護自己）

公眾號不定期更新各種教程