Můžeme se potýkat například se Zákonem č. 40/2009 Sb., Trestním zákoníkem, konkrétně třeba s trestními činy proti právům na ochranu osobnosti, soukromí a listovního tajemství § 180 – 184) – neoprávněným nakládání s osobními údaji (§ 180), porušením tajemství dopravovaných zpráv (§ 182), porušením tajemství listin a jiných dokumentů uchovávaných v soukromí (§ 183); trestními činy proti majetku – neoprávněným přístupem k počítačovému systému a nosiči informací (§ 230), opatřeními a přechováváním přístupového zařízení a hesla k počítačovému systému a jiných takových dat (§ 231), poškozením záznamu v počítačovém systému a na nosiči informací a zásah do vybavení počítače z nedbalosti (§ 232) atd. Není příliš podstatné, že sama prokazatelnost případné trestné činnosti může být značně nejen právně, ale i technologicky problematická. A nejedná se jen o právní obezřetnost během testování. Při neopatrném testování v produkčním testování můžeme způsobit škody, někdy zanedbatelné, jindy i fatální.

A proto, když se chceme učit prolamovat webové aplikace či třeba testovat skenovací nástroj, je vhodné využít k těmto účelům záměrně děravé aplikace. Takových záměrně děravých aplikací je celá řada: OWASP WebGoat, Hacme Casino, OWASP InsecureWebApp, pod Acunetix WVS aj. Ucelenější přehled jsem umístil na web projektu Skene webu. Já se nyní budu věnovat aplikaci Damn Vulnerable Web Application (DVWA), jak název napovídá, opravdu setsakramentsky zranitelné webové aplikaci.

DVWA je webová aplikace postavená na PHP / MySQL. Autoři díla cílí na podporu bezpečnostních profesionálů, učitelů, studentů… kteří si chtějí ověřit své dovednosti a nástroje v právně bezpečném prostředí. Zároveň pomáhají vývojářům lépe pochopit zabezpečení webových aplikací.

Jedná se o open-source projekt, jenž je zdarma. V mezích GPLv3 (či novější) lze DVWA šířit, modifikovat… Autoři neposkytují vývojovou podporu knihovny PHPIDS (PHP Intrusion Detection System), kterou DVWA využívá. PHPIDS se věnuje jiný vývojářský tým.

Sůležité odkazy: