← TryHackMe, HackTheBox и roo…Веб-безопасность и OWASP To… →

Своя домашняя лаборатория и DVWA

Самый контролируемый и безопасный полигон — это лаборатория на вашем собственном компьютере. Здесь вы владелец всего, а значит, всё разрешено.

Площадки в интернете — это здорово, но настоящую свободу экспериментов даёт домашняя лаборатория. Это набор виртуальных машин на вашем компьютере, изолированных от реальной сети. Поскольку всё это ваше, вы можете делать что угодно — это полностью легально.

Что такое виртуальная машина

Виртуальная машина (ВМ) — это «компьютер внутри компьютера». Программа-гипервизор (например, VirtualBox или VMware) позволяет запустить отдельную операционную систему в окне. Эта ВМ изолирована: что бы внутри ни случилось, ваш основной компьютер в безопасности.

  • Можно ломать и ставить «как было» из снимка (snapshot).
  • Можно держать несколько ОС: одну атакующую, одну уязвимую — для тренировки.
  • Можно изолировать сеть, чтобы лаборатория не имела выхода наружу.

Типовая схема лаборатории

МашинаРоль
Kali Linux (или похожий)Учебная атакующая машина с инструментами
Уязвимая ВМ (например, с DVWA)Учебная цель, которую вы исследуете
Изолированная сетьСвязывает их без выхода в интернет

Обе машины — ваши. Сеть закрытая. Никаких чужих систем не затронуто. Это эталон легальной практики.

DVWA и другие уязвимые приложения

DVWA (Damn Vulnerable Web Application) — это веб-приложение, специально сделанное уязвимым для обучения. Его устанавливают на свою ВМ и тренируются понимать веб-уязвимости в безопасной среде. Есть и другие учебные мишени: WebGoat, Juice Shop, Metasploitable. Все они существуют ровно для того, чтобы вы практиковались легально.

Ключевой момент: эти приложения уязвимы намеренно. Устанавливать их нужно только в изолированную лабораторию, не выставляя в интернет — иначе их могут найти настоящие злоумышленники.

С чего начать сборку

  1. Установите гипервизор (например, бесплатный VirtualBox).
  2. Создайте уязвимую ВМ или поставьте DVWA в учебную Linux-ВМ.
  3. Настройте изолированную (host-only) сеть, чтобы лаборатория не имела выхода наружу.
  4. Сделайте snapshot, чтобы можно было откатываться.
  5. Тренируйтесь — это полностью ваша территория.

Учебный пример: чеклист безопасности лаборатории

Маленький Python, который проверяет, «правильно» ли настроена наша воображаемая лаборатория. Чистая логика, без сети.

lab = {
    "isolated_network": True,
    "exposed_to_internet": False,
    "has_snapshot": True,
    "you_are_owner": True,
}

ok = (lab["isolated_network"]
      and not lab["exposed_to_internet"]
      and lab["you_are_owner"])

print("Лаборатория настроена безопасно:", ok)
if not lab["has_snapshot"]:
    print("Совет: сделайте snapshot перед экспериментами")

Вывод:

Лаборатория настроена безопасно: True

Домашняя лаборатория — это место, где можно ошибаться сколько угодно и учиться без страха и без риска для закона. С этого начинают почти все профессионалы.

Проверьте себя
1. Почему практика в домашней лаборатории на виртуальных машинах легальна?
AПотому что никто не узнает
BПотому что все системы принадлежат вам — вы их владелец
CПотому что виртуальные машины ненастоящие
DПотому что это происходит офлайн
2. Почему уязвимые приложения вроде DVWA нельзя выставлять в интернет?
AОни слишком тяжёлые
BИх намеренная уязвимость может привлечь настоящих злоумышленников
CЭто запрещено правилами DVWA
DОни работают только локально
Поддержать проект