BetaFast是一款集合了诸多漏洞的厚客户端，对于我们练习安全技术是很不错的。

故事起源

几年前，一个NetSPI安全顾问进入了我们的地下室，想要从仓库中找一些无指手套。地下室的过道几乎没有灯光，四处散落着一些杂物，突然一台设备引起了他的注意力。在一堆乱七八糟的满是灰尘的盒子和年久失修的转椅后面，那台设备上居然还有一个终端在闪烁着。

NetSPI一支最优秀的团队觉得很有意思，于是决定开始研究它。这台设备是一家叫BetaFast的公司创建的，这家公司早就已经倒闭了。这台设备的唯一目的就是分发BetaMax磁带，这种磁带已经是1975年的老古董了。团队成员们很好奇，这台设备休眠了多久？运行了多久？为什么还在运行？于是这勾起了他们的兴趣。

发布

于是这些安全专家们就开始孜孜不倦的逆向这台设备(一个电影分发展台)，它的软件是一种专有语言编写的，当然了，毫无疑问，漏洞百出。

这个展台的前端和后端都是用C#写的。在接下来的几周，我们将会写一个系列博客来概述我们在这个软件上发现的漏洞。代码可以在我们的github主页上找到。另外我们也找到了原始的BetaFast的网站，已经添加到我们的github页面上了，http://www.betafast.net/。

漏洞列表

我们已经发布了两款漏洞应用程序。一个是BetaFast，betamax展台应用，采用三层架构编写，另一个是Beta Bank，一个专为精英设计的高级金融应用程序，采用两层架构编写。

BetaFast包含但不限于以下漏洞：

· 硬编码加密数据

· 硬编码加密密码

· sql注入

· 认证绕过

· 缺少服务端输入验证

· 注册表存储明文密码

· 文件中存储明文敏感数据

· 弱文件上传控制

· 弱输入验证

· 无代码混淆

Beta Bank编写时包含了以上这些漏洞，同时也增加了一些额外的安全问题：

· 未加密的数据库连接

· 硬编码连接字符串

· 弱口令存储

· 自定义加密实现

已发布

1.    The GUI

2.    The Network

Youtube视频介绍

https://youtu.be/joVF53aOXX0

如若转载，请注明原文地址