BWAPP
bWAPP расшифровывается как Buggy Web Application (багги веб-приложений). Данный ресурс имеет открытый исходный код специально для того, чтобы показать как выглядит небезопасный веб-ресурс. Он был создан разработчиком по имени Malik Messelem. В этом веб-приложении вы найдете более 100 распространенных проблем, описанных в Owasp Top 10.
bWAPP построен на PHP с использованием MySQL. Для более продвинутых пользователей bWAPP разработчики предлагают bee-box, виртуальную машину Linux, которая поставляется с уже предустановленной bWAPP.
Damn Vulnerable IOS App (DVIA)
DVIA был разработан в качестве небезопасного мобильного приложения под управлением iOS 7 и выше. Для разработчиков мобильных приложений эта платформа особенно полезна, потому что сайтов для практики этичного хакинга мобильных приложений очень мало.
Чтобы начать работу с DVIA, просмотрите обучающее видео на YouTube и прочитайте руководство «Начало работы».
Google Gruyere
Этот сайт полон дыр и предназначен для тех, кто только начинает изучать безопасность приложений.
С помощью сайта вы узнаете:
· как хакеры находят уязвимости в системе безопасности
· как хакеры используют веб-приложения
· как остановить хакеров от поиска и использования уязвимостей
«К сожалению, у Gruyere есть несколько ошибок безопасности, начиная межсайтовым скриптингом и подделкой межсайтовых запросов до раскрытия информации, отказа в обслуживании и удаленного выполнения кода, – говорится на веб-сайте. – Цель этого веб-приложения состоит в том, чтобы помочь вам обнаружить некоторые из этих ошибок и научиться исправлять их как в Gruyere, так и на практике.»
4. HackThis!!
HackThis!! был разработан для того, чтобы научить вас взламывать, дампать, дифейсить и защищать свой сайт от хакеров. HackThis!! предлагает более 50 уровней сложности в дополнение к живому и активному онлайн-сообществу. Все это в совокупности делает ресурс одним из лучших для практики этичного хакинга и обмена новостями в сфере безопасности.
Hack This Site
Hack This Site – это место для тех, кто хочет попрактиковаться в этичном хакинге. На данном ресурсе вы найдете хакерские новости, статьи, форумы, учебные пособия и стремление создателей научить пользователей этичному хакингу с помощью навыков, разработанных путем выполнения различных задач.
Hellbound Hackers
Hellbound Hackers – практический подход к компьютерной безопасности. Этот ресурс предлагает широкий спектр проблем с целью научить идентифицировать и устранять эксплойты. Hellbound Hackers является одним из лучших сайтов для практики этичного хакинга, охватывающих широкий спектр тем от шифрования и взлома до социальной инженерии. С 100 тысячами зарегистрированных пользователей это также одно из крупнейших хакерских сообществ.
HackMe сайты от McAfee
Foundstone – практика этичного хакинга под руководством McAfee. Компания запустила в 2006-ом серию сайтов, предназначенных для пентестеров и специалистов в области информационной безопасности, желающих улучшить свои навыки. Каждое смоделированное приложение предлагает реальное задание, построенное на реальных уязвимостях. От мобильных банковских приложений до приложений, предназначенных для бронирования билетов. Эти проекты охватывают широкий спектр вопросов безопасности, чтобы помочь любому специалисту в области информационной безопасности всегда быть на шаг впереди хакеров.
Список сайтов:
· Hacme Bank
· Hacme Bank for Android
· Hacme Books
· Hacme Casino
· Hacme Shipping
· Hacme Travel
Mutillidae
Еще один OWASP-проект в нашем списке. Mutillidae – уязвимое веб-приложение, созданное для Linux и Windows. Проект представляет собой набор PHP-скриптов, содержащих десять самых распространенных уязвимостей по мнению OWASP. Также ресурс не обделен и подсказками, чтобы помочь пользователям на начальных стадиях.
OverTheWire
OverTheWire отлично подходит для разработчиков и специалистов в сфере информационной безопасности всех уровней. Эта практика приходит в форме веселой войнушки – игроки должны начать с уровня «бандит», где преподаются основы. Чем больше вы будете заниматься, тем более высокого уровня достигнете. С каждым новым уровнем задания становятся все сложнее и сложнее, а решения – запутаннее и запутаннее.
OWASP Juice Shop Project
OWASP Juice Shop – это веб-приложение для практики этичного хакинга, полностью написанное на JavaScript, охватывает всю первую десятку в списке OWASP и другие серьезные дыры безопасности.
Peruggia
Peruggia – это безопасная среда для разработчиков и специалистов в области безопасности. Она позволяет изучать и тестировать распространенные атаки на веб-приложениях. Peruggia чем-то похожа на архив проектов, где вы можете скачать один из них, чтобы узнать, как найти и ограничить потенциальные проблемы и угрозы.
Root Me
Root Me – отличный способ проверить себя, улучшить навыки этичного хакинга и знания в области веб-безопасности с помощью более 200 различных заданий.
Try2Hack
Данный ресурс считается одним из самых старых для практики этичного хакинга. Try2Hack предлагает только малую часть всех проблем безопасности. В игре представлены различные уровни, которые отсортированы по сложности. Все задания выполнены таким образом, чтобы вам было комфортно практиковаться в этичном хакинге. Существует канал IRC для начинающих, к которому вы можете присоединиться и попросить о помощи. Также есть полное пошаговое руководство на GitHub.
Vicnum
Vicnum – это совокупность базовых веб-приложений, основанных на играх, которые обычно используются для “убийства” времени. Из-за этого приложения могут быть адаптированы для различных потребностей, что делает Vicnum отличным выбором для специалистов в области безопасности, которые хотят обучить разработчиков AppSec в увлекательной игровой форме.
Цель Vicnum – “усилить безопасность веб-приложений, обучая различные группы людей тому, что может пойти не так при работе в веб-приложении”, – говорится на сайте разработчиков.
WebGoat
Одним из самых популярных проектов OWASP является WebGoat. Это приложение создает реалистичную среду обучения с уроками, предназначенными для обучения пользователей сложным вопросам в области безопасности приложений. WebGoat предназначен для разработчиков, желающих узнать больше о безопасности веб-приложений. Лозунгом WebGoat является фраза: «Даже лучшие программисты делают ошибки в области безопасности. Им нужен козел отпущения, да? Просто вини в этом козла!”
Проект доступен для установки на Windows, OSX Tiger и Linux. Имеет отдельные загрузки для сред J2EE и.NET. Существует простая версия, а также версия исходного дистрибутива, которая позволяет пользователям изменять исходный код.
Hackademic
Этот OWASP-проект с открытым исходным кодом предлагает десять реалистичных сценариев, полных известных уязвимостей. Сайт предназначен для тех, кто хочет отточить свои навыки в области атаки. Hackademic отлично подходит для образовательных целей. Также разработчики щедро поощряют за внедрение новых сценариев и уязвимостей.
SlaveHack
SlaveHack – многопользовательский симулятор хакера. В этой игре вы можете играть либо за оборону, либо за нападение. Цель игры в том, чтобы управлять программным и аппаратным обеспечением и подчинить себе взломанные или защищенные компьютеры, в зависимости от того, за какую сторону вы играете. SlaveHack на самом деле не требует навыков взлома, но он все же есть в нашем ТОПе, потому что может помочь специалистам в области безопасности увидеть свои системы с обратной стороны. Форум SlaveHack создан для того, чтобы игроки помогали друг другу со сложными заданиями, а также просто для общения.
Hackxor
Эта игра создана для практики взлома веб-приложений. Она предлагает несколько уровней в качестве онлайн-версии и более продвинутые уровни в качестве загружаемой полной версии. Игроки даже могут играть в сценарий Black hat hacker (задача заключается в том, чтобы выследить другого хакера любыми возможными способами).
Moth
Moth – это образ VMware с набором уязвимых веб-приложений и скриптов. Изначально Moth был разработан как способ тестирования AppSec, но теперь это отличное место, где вы можете практиковаться в этичном хакинге и смотреть, какие уязвимости можно идентифицировать.
Hack.me
Платформа является инновационной, поскольку не только содержит в себе уязвимые приложения, но также позволяет другим пользователям добавлять свои собственные уязвимые приложения. Hack.me стремится быть самым большим архивом активных уязвимых веб-приложений, образцов кода и CMS в интернете.
CTF365
Пользователи CTF365 устанавливают и защищают свои собственные серверы одновременно с атаками на серверы других пользователей. CTF365 подойдёт профессионалам в области безопасности, которые хотят приобрести наступательные навыки, или системным администраторам, заинтересованным в улучшении своих защитных навыков. Если вы новичок в инфосеке, вы можете зарегистрировать бесплатную учетную запись для начинающих и познакомиться с ним с помощью нескольких предварительно настроенных уязвимых серверов.
HACKING-LAB
Hacking-Lab предоставляют задачи CTF для European Cyber Security Challenge, но они также проводят на своей платформе регулярные соревнования, в которых может участвовать каждый. Просто зарегистрируйтесь, настройте vpn и выберите себе задачу по вкусу.
PWNABLE.KR
Данная площадка фокусируется на pwn-задачах, подобных CTF, суть которых заключается в поиске, чтении и отправке файлов-флагов, которые есть в каждой задаче. Для доступа к содержимому файлов вы должны использовать навыки программирования, реверс-инжиниринга или эксплуатации уязвимостей, прежде чем сможете отправить решение.
Задачи делятся на 4 уровня сложности: лёгкий — для новичков, средний, сложный и хардкор, где задачи требуют нестандартных подходов для решения.
IO
IO — это варгейм от создателей netgarage.org, сообщества, в котором единомышленники делятся знаниями о безопасности, искусственном интеллекте, VR и многом другом. Было создано 3 версии варгейма: IO, IO64 и IOarm, из них всех IO является наиболее зрелой. Подключайтесь к IO через SSH и можете приниматься за работу.
SMASHTHESTACK
SmashTheStack состоит из 7 различных варгеймов: Amateria, Apfel (в настоящее время офлайн), Blackbox, Blowfish, CTF (в настоящее время офлайн), Logic и Tux. Каждый варгейм содержит множество задач, начиная от стандартных уязвимостей и заканчивая задачами на реверс-инжиниринг.
MICROCORRUPTION
Microcorruption представляет собой CTF, в котором вам нужно «зареверсить» вымышленные электронные блокирующие устройства Lockitall. Устройства Lockitall защищают облигации, размещённые на складах, принадлежащих вымышленной компании Cy Yombinator. На пути к краже облигаций вы познакомитесь с ассемблером, узнаете, как использовать отладчик, пошагово выполнять код, устанавливать точки останова и исследовать память.
REVERSING.KR
Здесь вы можете найти 26 задач для проверки ваших навыков взлома и реверс-инжиниринга. Сайт не обновлялся с конца 2012 года, но имеющиеся задачи по-прежнему являются ценными учебными ресурсами.
о ожидать большие улучшения.
W3CHALLS
W3Challs — это обучающая платформа с множеством задач в различных категориях, включая хакинг, варгеймы, форензику, криптографию, стеганографию и программирование. Цель платформы — предоставить реалистичные задачи. В зависимости от сложности решённой задачи вы получаете баллы. Также есть форум, на котором можно обсуждать и решать задачи с другими участниками.
PWN0
Площадка pwn0 — это VPN, в которой происходит почти всё, что угодно. Сражайтесь против ботов или пользователей и набирайте очки, получая контроль над другими системами.
EXPLOIT EXERCISES
Exploit Exercises предлагает множество виртуальных машин, документацию и задачи, которые пригодятся в изучении повышения привилегий, анализа уязвимостей, разработки эксплойтов, отладки, реверс-инжиниринга и т.д.