我很好奇在像 OWASP 这样的网站上进行项目以了解漏洞或“战争游戏/挑战”(例如这些链接中发布的内容)时是否需要保护/保护自己
这些网站似乎是出于法律目的而创建的,目的是学习。我很好奇这是否也是恶意用户更改这些可能会伤害他人的项目的担忧,或者可能其中一些没有受到所有保护......?
我很好奇人们是否会建议使用虚拟机/测试机(您是否总是想在物理机上使用虚拟机,以防硬件恶意软件或 w/e?),以及 VPN/代理隐私等?
只是好奇是否需要这些,或者这些网站中的大多数是否合法......
也许通常来说,始终保护自己免受您不知道的网站(即阻止 JS、cookie、插件等)的侵害是一种很好的做法?我只是想,既然我们正在处理可能是危险的漏洞和东西,我们也应该受到保护吗?
有一种说法,就像
只有偏执狂才能生存。
为了回答您的问题,这些练习机是由安全爱好者和想要回馈社会的专家为练习目的而建造的。通过这样做,创作者在 Infosec 家族中获得了声誉和名望(某种程度上)。
另一方面,如果你仔细想想,在这些机器上练习的人大多是初学者,只有一半的知识,可以成为这类事情的完美目标。我的意思是查看每日信息安全新闻,例如CISCO 0 Days、小米的后门、Linux 系统中的漏洞利用(例如overlayfs)许多其他例子只会激励你尽可能谨慎。尽管从来没有出现过这样的消息,至少据我所知没有。但也有第一次。
再次考虑一下,所有此类项目都是开源的,并且它们的所有代码和步骤都是可用且易于查看的。此外,托管 CTF 的Vulnhub等网站也始终确保在托管任何新用户提交的计算机之前不会发生此类事情。因此,只要您从合法网站下载练习机,您就可以开始使用了。但我再次无法与更加小心的冲动争论。因为无论你多么小心,这永远不够,至少在信息安全领域还不够。
好像你回答了你自己的问题。采取措施保护自己免受威胁是非常谨慎的做法。你永远不能太小心。
如有疑问,请设置一些安全性。黑客一直在寻找下一个重大漏洞。世界上有数以百万计的人在许多不同的系统上彻夜工作。
尽管 OWASP 兵棋推演列表上的项目经过严格审查且可靠,但谨慎行事并没有错。在运行来源不明的东西时使用 Sandboxie(适用于 Windows)或 firejail、BitBox、Cuckoo 等保护措施是个好主意。