本指南主要通過介紹一些常用滲透環境,給pentester們以自己修煉的機會,並配合一些常規的pentest tools達到學習目的
名稱: WebGoat
項目地址: http://www.owasp.org/index.php/OWASP_WebGoat_Project
簡介:OWASP項目,WebGoat是一個用於講解典型web漏洞的基於J2EE架構的web應用
名稱: Vicnum
項目地址: http://www.owasp.org/index.php/Category:OWASP_Vicnum_Project
簡介:OWASP項目,一個具有擴展性的WEB程序,可用於評估SQLInj,XSS,Session驗證漏洞等問題
名稱: InsecureWebApp
項目地址: http://www.owasp.org/index.php/Category:OWASP_Insecure_Web_App_Project
簡介:OWASP項目,包含常見典型WEB漏洞,代碼可以用於典型的安全審計和安全建模
名稱: Web Security Dojo
項目地址: http://www.mavensecurity.com/web_security_dojo/
簡介:一套包含常規的WEB滲透檢測工具和有漏洞的WEB程序的Ubuntu修改發行版.
名稱: Damn Vulnerable Web Application
項目地址: http://dvwa.co.uk/
簡介:DVWA是用PHP+Mysql編寫的一套用於常規WEB漏洞教學和檢測的WEB脆弱性測試程序
名稱: The Butterfly Security Project
項目地址: http://sourceforge.net/projects/thebutterflytmp/
簡介:DVWA是用PHP+Mysql編寫的一套用於常規WEB漏洞教學和檢測的WEB脆弱性測試程序
名稱: Mutillidae
項目地址: http://www.irongeek.com/i.php?page=security/mutillidae-deliberately-vulnerable-php-owasp-top-10
簡介:mutillidae是一個免費,開源的Web應用程序,提供專門被允許的安全測試和入侵的Web應用程序
名稱: OWASPBWA
項目地址: http://sourceforge.net/projects/owaspbwa/
簡介:OWASP項目,收集了常見的諸如WebGoat等脆弱性WEB程序的VM鏡像.
名稱: Moth
項目地址: http://www.bonsai-sec.com/en/research/moth.php
簡介:Moth是一個包含脆弱性Web應用程序和腳本集的VM鏡像
名稱: Stanford SecuriBench & SecuriBench Micro
項目地址: http://suif.stanford.edu/%7Elivshits/securibench/ &http://suif.stanford.edu/%7Elivshits/work/securibench-micro/
簡介:這里是兩個應用,SecuriBench側重於Java開發的WEB程序,Micro則是前者的精簡版,都用於測試常見的WEB程序漏洞
名稱: BadStore
項目地址: http://www.badstore.net/
簡介:Badstore.net致力於幫助您了解如何黑客如何在Web應用程序尋找漏洞,並教你如何減少Web程序的危險
名稱: BadStore
項目地址: http://www.badstore.net/
簡介:Badstore.net致力於幫助您了解如何黑客如何在Web應用程序尋找漏洞,並教你如何減少Web程序的危險
名稱: WebMaven/Buggy Bank
項目地址: http://www.mavensecurity.com/webmaven
簡介:WebMaven是一個交互式Web應用程序安全的學習環境。它用於發現並模擬用戶的各種安全漏洞
名稱: LampSecurity
項目地址: http://sourceforge.net/projects/lampsecurity/
簡介:LAMPSecurity是設計用於Linux,Apache,PHP,MySQL安全測試的VM鏡像
名稱: The Bodgeit Store
項目地址: http://code.google.com/p/bodgeit/
簡介:BodgeIt是一個Java編寫的脆弱性WEB程序
名稱: hackxor
項目地址: http://hackxor.sourceforge.net/cgi-bin/index.pl
簡介:hackxor是一個online hackgame,亦可以下載安裝完整版進行部署,包括常見的WEB漏洞演練
名稱: WackoPicko
項目地址: https://github.com/adamdoupe/WackoPicko
簡介:WackoPicko是一個脆弱的Web應用程序,用於測試Web應用程序漏洞掃描工具
———————————————————————————————————————————————–
在線的WEB漏洞程序列表
Ps:通常用於測試自動滲透測試工具的一些站點,也可以通過手工自己來進行練習.
Hacme Game
http://hacmegame.org/
SPI Dynamics
http://zero.webappsecurity.com/
Acunetix 1
http://testphp.vulnweb.com/
Acunetix 2
http://testasp.vulnweb.com/
Acunetix 3
http://testaspnet.vulnweb.com/
PCTechtips Challenge
http://pctechtips.org/hacker-challenge-pwn3d-the-login-form/
Hacme Casino
http://www.mcafee.com/us/downloads/free-tools/hacme-casino.aspx
Hacme Bank 2.0
http://www.mcafee.com/us/downloads/free-tools/hacme-bank.aspx
Updated HackmeBank
http://www.o2-ounceopen.com/technical-info/2008/12/8/updated-version-of-hacmebank.html
Hacme Books
http://www.mcafee.com/us/downloads/free-tools/hacmebooks.aspx
Hacme Travel
http://www.mcafee.com/us/downloads/free-tools/hacmetravel.aspx
Hacme Shippinghttp://www.mcafee.com/us/downloads/free-tools/hacmeshipping.aspx
Hell Bound Hackers
http://hellboundhackers.org/
Vulnerability Assessment
http://www.vulnerabilityassessment.co.uk/
Smash the Stack
http://www.smashthestack.org/
Over the Wire
http://www.overthewire.org/wargames/
Hack This Site
http://www.hackthissite.org/
Hacking Lab
https://www.hacking-lab.com/
We Chall
https://www.wechall.net/
REMnux
http://zeltser.com/remnux/
EnigmaGroup(Pentester train)http://www.enigmagroup.org/
1、DVWA,Web漏洞實驗平台。
2、Metasploitable,專為Metasploit滲透工具打造的靶機環境。
3、OWASP WebGoat,Web漏洞實驗平台。
5、OWASP buggy web Application,Web漏洞實驗平台。
4、OWASP Broken Web Applications Project,Web漏洞實驗平台。
9、pentesterlab,下載鏡像到本地安裝,開展實驗,也有滲透教程。
一、地址:http://43.247.91.228:81 賬號:admin密碼:password1.DVWADVWA是著名的OWASP開放出來的一個在線web安全教、學平台。提供了:暴力破解、命令執行、CSRF、文件包含、SQL注入、XSS學習環境,並且分:low、medium、high三種不同的安全等級,等級越高難度也越大。同時每一個漏洞可以直接在頁面選擇查看源碼進行源碼對比學習。二、這個也是OWASP放出來的一個web安全學習平台,PHP+MySQL,主要有SQL注入練習及簡單繞過。地址:http://43.247.91.228 如果不能正常練習,進入:http://43.247.91.228/config/ 然后reset就可以了。三、WebGoat是一個用於講解典型web漏洞的基於J2EE架構的web應用,他由著名的WEB應用安全研究組織OWASP精心設計並不斷更新。WebGoat本身是一系列教程,其中設計了大量的web缺陷,一步步的指導用戶如何去利用這些漏洞進行攻擊,同時也指出了如何在程序設計和編碼時避免這些漏洞。Web應用程序的設計者和測試者都可以在WebGoat中找到自己感興趣的部分。雖然WebGoat中對於如何利用漏洞給出了大量的解釋,但是還是比較有限,尤其是對於初學者來說,但覺得這正是其特色之處:WebGoat的每個教程都明確告訴你存在什么漏洞,但是如何去攻破要你自己去查閱資料,了解該漏洞的原理、特征和攻擊方法,甚至要自己去找攻擊輔助工具,當你成功時,WebGoat會給出一個紅色的Congratulation,讓你很有成就感!地址:http://43.247.91.228:82/WebGoat/
