关于TIWAP基于Python和Flask的功能,可以帮助一些信息安全爱好者或测试人员学习和了解各种类型的Web安全漏洞。该工具受到DVWA的启发,开发人员已尽最大努力重新生成各种Web漏洞。此工具仅用于教育目的,我们强烈建议用户在虚拟机上安装和使用TIWAP,而不是在内部或外部服务器上。工具安装配置为了帮助用户方便快捷的安装和使用TIWAP,我们已经帮您完成了项目的配置。我们只需要在本地系统上安装Docker。安装完Docker后,我们可以运行如下命令下载安装TIWAP:gitclonehttps://github.com/tombstoneghost/TIWAPcdTIWAPdocker-composeup注意:该工具安装方式只支持在Linux平台上使用,针对Windows目前正在解决平台兼容性问题。实验环境启动后,我们可以使用默认的凭据登录:用户名:admin密码:admin工具技术栈前端:HTML、CSS和JavaScript后端:Python-Flask数据库:SQLite3和MongoDB漏洞信息的当前版本的TIWAP实验环境包含二十种类型的安全漏洞,具体如下:SQL注入BlindSQL注入NoSQL注入命令注入业务逻辑漏洞敏感数据泄露XML外部实体安全配置错误ReflectiveXSSStoredXSSDOM-basedXSSHTMLinjectioninsecureCertificate验证HardcodedCredentials不安全的文件上传暴力破解目录遍历跨站请求伪造(CSRF)服务端请求伪造(SSRF)服务端模板注入(SSTI)其中,每个漏洞都提供了三个级别的漏洞使用难度,即,low-levelLow,medium-levelMedium和difficultHard,我们可以配置它在设置页面中根据我们自己的需要。许可协议本项目的开发和发布遵循MIT开源许可协议。项目地址TIWAP:【GitHub传送门】
