选个“靶子”练练手:15个漏洞测试网站带你飞

俗话说进攻是最好的防御,而这与信息安全世界并没有什么不同。通过这15个故意存漏洞网站来提升你的黑客技能,你会成为最好的防守者——无论你是一名开发人员、安全管理者、审计师或者测试人员。请牢记:熟能生巧!

1、Bricks

Bricks是一个建立于PHP、使用MySQL数据库的web应用程序,其中含有漏洞并且每个“brick”程序块包含一个需要进行缓解安全漏洞。这是OWASP的一个项目,不仅为教学提供了一个AppSec平台,同时也成为检测web应用程序扫描器的一种方法。

有三种类型的程序块:登录页面、文件上传页面以及内容页面,每种都存在不同类型的漏洞,而这些漏洞都是应用程序中经常遇到的。

2、bWAPP

代表了缺陷Web应用程序的bWAPP,是“一款免费并且开源的不安全web应用程序”。关注的漏洞超过了100个常见问题,均源自OWASP Top 10。

3、Damn Vulnerable iOS App (DVIA)

信息安全工程师@prateekg147近期发布并提供免费下载的DVIA是一款基于iOS 7及以上版本的超级不安全移动app。对于移动app的开发者来说,这个平台非常有用,因为一旦有大量站点可以练习攻击web应用的技能,那么移动app就会让这样的合法攻击难度增加。

去下载一个DVIA吧,可以观看YouTube视频和阅读“开始”指南开启一段神秘黑客之旅。

4、Damn Vulnerable Web Application (DVWA)

这个网络安全平台是由一批经验丰富的安全专家、开发人员以及学生所共同创建的。网站在@ethicalhack3r和Ryan Dewhurst的帮助下建成,二人同时为社区提供了开源SCA工具DevBug。同样建立于PHP、使用MySQL数据库,在DVWA中寻找的漏洞包括SQL注入、跨站脚本攻击绕过验证码及恶意文件执行。

现在可以开始使用DVWA,或者通过Github,同时你还可以查找YouTube视频学习如何安全应用程序。

5、ExploitMe 移动Android实验室

开发者与安全专家一道建立了这个可以模仿攻击者袭击的Android平台。实验室关注Android应用程序中的8个特定常见漏洞,这一平台逐渐成为Android开发者与应用程序捍卫者的安全指南。

实验室课程包括:

·移动流量参数操作 ·流量加密 ·密码锁屏 ·文件系统访问权限 ·不安全的文件储存 ·不安全日志

福利:ExploitMe 同样出了iPhone版,只是内容上并没有安卓的丰富。

6、黑客游戏

诚然,这并不是一个漏洞web应用程序——而这是另一种学习发现应用程序安全漏洞的吸引人的方式。目前我们已经收到了令人惊叹的安全专家和开发人员的反馈,所以我们很乐意与大家分享这一成果。

这个游戏目的是测试你的app安全技能,同时每个或有或无漏洞的问题都提供了大量的代码——这是需要你在时钟走完之前弄明白的。而黑客游戏中的排行榜让游戏更加诱人。

7、Google Gruyere

“你想在黑客游戏中打败黑客吗?”这种“低级”的漏洞网站随处都是可以挖的洞洞,适合那些刚开始学习应用程序安全性的人。

其目标有三个:

学习黑客发现安全漏洞 学习黑客利用web应用程序 学习如何阻止黑客发现及利用漏洞

该网站介绍,

可喜的是,Gruyere存在包括多个安全漏洞,包括跨站点脚本XSS、跨站点请求伪造CREF、信息曝露、拒绝服务DoS攻击及远程代码执行RCE。网站的目的就是为了指导你发现其中的一些漏洞并学习在Gruyere中解决问题的方法。

使用Python语言编写的Gruyere同时为黑盒和白盒提供了测试机会,这样“黑客”可以在栅栏两边发挥作用。

8、iGoat

iGoat是专为iOS开发者和基于OWASP WebGoat项目的移动环境。

开发人员通过在iGoat课程的学习:了解每个漏洞,有机会利用它们来发现存在的问题,简述适当的问题修复方式,同时“重建”iGoat程序。

9、InsecureWebApp

OWASP项目InsecureWebApp是一款名副其实、非常适合学习提升编码安全性与设计技能的应用。从项目网站可以了解到InsecureWebApp的目标有三个层面:

1)演示应用程序漏洞是有多么危险 2)缩小web应用程序安全理论与实际设计和建立代码中的差距 3)学习如何修复这些漏洞

InsecureWebApp为那些已经熟悉基本应用程序安全理论的人而建,很适合那些安全领域的开发人员、学生以及初学者。

10、McAfee HacMe Sites

McAfee专业实践服务Foundstone于2006年建立了为寻求提高信息安全技能的笔测试人员和安全专家的一系列站点。每个存在“真实”漏洞的模拟应用程序为研究者提供了一个“真实”的经历。从移动银行app到预约app,这些项目囊括了广泛的安全问题来帮助黑客处于行业的领先地位。

这些站点包括:

·Hacme Bank

·Hacme Bank for Android

·Hacme Books

·Hacme Casino

·Hacme Shipping

·Hacme Travel

11、Mutillidae

这是一个免费、开源的Web应用程序,专门提供被允许的安全测试和入侵的Web应用,可以安装在Linux、windows 7等平台上。这个项目是一组PHP脚本,包含OWASP十大漏洞,并提示用户如何开始。你可以开始Mutillidate的旅程,请认真观看YouTube频道并关注第二代开发者Jeremy Druin的Twitter帐号。

12、安全牧羊人(Security Shepherd)

竭力“将科技世界的迷途羔羊驯回到安全实践的和平世界”,安全牧羊人致力于让所有有软件更加安全。

获得了经验与挑战之后,用户可以选择更深入地解漏洞或者在倍加脆弱的web应用程序中了发现漏洞。牧羊人也可以作为夺旗游戏的基础,寓教于乐地让大家发现应用程序安全原则至关重要。

13、蝴蝶安全项目

该项目的目的是为了“洞察普通web应用程序和PHP漏洞以及他们是如何在开发过程中被创建的”。

这个项目的独特之处在于它同时提供了一个不安全版本和安全版本的应用程序,为了降低不安全版本中的漏洞被发现后的影响。这使得蝴蝶项目适合任何想同时扮演攻击者和防御者双重角色的人。

14、Vicnum

作为OWASP中的一个项目,Vicnum更像是一系列基于web应用程序、用来“打发时间”的游戏。由于他们的框架简易,应用程序可以调整以满足不同需求,使Vicnum成为安全管理者教授开发人员应用安全知识的一种有趣方式。

15、代罪羔羊(WebGoat)

这是OWASP最受欢迎的项目之一。不安全程序提供了一个显示教学和学习环境,用户可以学习到更多更为复杂的应用程序安全问题课程。

致力于希望开发人员了解更多关于web程序安全知识,WebGoat的名称参考了代罪羔羊(scapegoat),“即使是最好的程序员也不能避免安全错误。他们需要一个替罪羊,不是么?一切只怪这‘羊’”!

安装可适用于Windows、OSX Tiger、Linux以及J2EE和.NET环境下的独立下载。这里有个“简易运行“版本和一个”源代码分发”版,可以允许用户修改源代码。

寻求课程帮助可以查看可供下载的这一系列视频。

<查看所有链接请点击阅读全文>

*参考来源:checkmarx,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-06-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏开源项目

GVP 特辑!PHP 老司机力荐的 6 款实战项目 | 码云周刊第 40 期

GVP 特辑 有数据显示,全球前100万的站点中,有超过70%的站点是使用 PHP 开发的。面对如此流行的编程语言,我们如何才能更有效率的学习?今天小编特意...

5375
来自专栏IT技术精选文摘

解密腾讯海量服务之道

一直对腾讯做产品的能力比较敬佩的,我们组做消息推送系统,而腾讯的信鸽就是我们学习的榜样。京东很多做产品的思想是跟腾讯学的,而京东很多同事也从腾讯过来的(京东合并...

8005
来自专栏Web项目聚集地

「SSM实战」从零开发内容管理系统(一)

本课程将从零开始,手把手带大家完成项目开发,有助于掌握编码思维、经验与技巧,并拥有一个属于自己的线上作品。本课程并非从Java语法开始的,共20节课从零讲解此项...

1842
来自专栏罗超频道

升级,WIN10正在向Apple靠齐

WIN10正式版终于来到了,4月开始我就在体验WIN10预览版了,还存在一些不完善之处,所以这次决定第一时间升级到正式版。WIN10这一次彻头彻尾的在改变自己,...

39310
来自专栏腾讯社交用户体验设计

一次移动记账 App 的设计探索 - 腾讯ISUX

2172
来自专栏北京马哥教育

Linux 与 Unix 到底有什么不同?

如果你是一名20多岁或30多岁的软件开发人员,那么你已成长在一个由Linux主导的世界中。数十年来,它一直是数据中心的重要参与者,尽管很难找到明确的操作系统市场...

2020
来自专栏杨建荣的学习笔记

swingbench压测Oracle小记(r12笔记第20天)

今天抽时间在整理一个关于MySQL和Oracle共同面临的问题,但是它们有着不同的解决方案,就是经典的partial write问题,我也看到网上有很多D...

3817
来自专栏我是攻城师

支撑起整个互联网时代的 7 款开源软件

4767
来自专栏EAWorld

基于统一开发平台的微服务架构转型升级之路 | 某国有大型银行案例

某银行是一家国有大型银行,从2016年开始采用了我们的SOA开发平台作为基础Java开发平台。

3512
来自专栏云加头条

余国良:微信小游戏的架构设计与开发

在技术上微信小游戏和小程序的区别是什么?开发商在开发一款小游戏的时候通常会遇到什么问题?怎么去规避和解决?

5.9K12

扫码关注云+社区

领取腾讯云代金券