DVWA (Dam Vulnerable Web Application)
DVWA是用PHP+Mysql編寫的一套用於常規WEB漏洞教學和檢測的WEB脆弱性測試程序。包含了SQL注入、XSS、盲注等常見的一些安全漏洞。
鏈接地址:http://www.dvwa.co.uk
mutillidaemutillidae
mutillidaemutillidae是一個免費,開源的Web應用程序,提供專門被允許的安全測試和入侵的Web應用程序。它是由Adrian “Irongeek” Crenshaw和Jeremy “webpwnized” Druin.開發的一款自由和開放源碼的Web應用程序。其中包含了豐富的滲透測試項目,如SQL注入、跨站腳本、clickjacking、本地文件包含、遠程代碼執行等.
鏈接地址:http://sourceforge.net/projects/mutillidae
SQLol
SQLol是一個可配置得SQL注入測試平台,它包含了一系列的挑戰任務,讓你在挑戰中測試和學習SQL注入語句。此程序在Austin黑客會議上由Spider Labs發布。
鏈接地址:https://github.com/SpiderLabs/SQLol
hackxor
hackxor是由albino開發的一個online黑客游戲,亦可以下載安裝完整版進行部署,包括常見的WEB漏洞演練。包含常見的漏洞XSS、CSRF、SQL注入、RCE等。
鏈接地址:http://sourceforge.net/projects/hackxor
BodgeIt
BodgeIt是一個Java編寫的脆弱性WEB程序。他包含了XSS、SQL注入、調試代碼、CSRF、不安全的對象應用以及程序邏輯上面的一些問題。
Exploit KB
該程序包含了各種存在漏洞的WEB應用,可以測試各種SQL注入漏洞。此應用程序還包含在BT5里
鏈接地址:http://exploit.co.il/projects/vuln-web-app
WackoPicko
WackoPicko是由Adam Doupé.發布的一個脆弱的Web應用程序,用於測試Web應用程序漏洞掃描工具。它包含了命令行注射、sessionid問題、文件包含、參數篡改、sql注入、xss、flash form反射性xss、弱口令掃描等。
鏈接地址:https://github.com/adamdoupe/WackoPicko
WebGoat
WebGoat是由著名的OWASP負責維護的一個漏洞百出的J2EE Web應用程序,這些漏洞並非程序中的bug,而是故意設計用來講授Web應用程序安全課程的。這個應用程序提供了一個逼真的教學環境,為用戶完成課程提供了有關的線索。
項目說明:http://www.owasp.org.cn/owasp-project/webscan-platform
文件下載:https://owasp.org/www-project-webgoat/
OWASP Hackademic
OWASP Hackademic 是由OWASP開發的一個項目,你可以用它來測試各種攻擊手法,目前包含了10個有問題的WEB應用程序。
鏈接地址:https://github.com/Hackademic/hackademic
XSSeducation
XSSeducation是由AJ00200開發的一套專門測試跨站的程序。里面包含了各種場景的測試。
鏈接地址: http://wiki.aj00200.org/wiki/XSSeducation
Google XSS 游戲
Google推出的XSS小游戲
鏈接地址:https://xss-game.appspot.com/
Web for Pentester
web for pentester是國外安全研究者開發的的一款滲透測試平台,通過該平台你可以了解到常見的Web漏洞檢測技術。具體包括 XSS跨站腳本攻擊, SQL注入, 目錄遍歷. 命令注入, 代碼注入, XML攻擊, LDAP攻擊, 文件上傳 以及一些指紋識別技術
DVWA-WooYun(烏雲靶場)
DVWA-WooYun是一個基於DVWA的PHP+Mysql漏洞模擬練習環境,通過將烏雲主站上的有趣漏洞報告建模,以插件形式復現給使用該軟件的帽子們,可以讓烏雲帽子們獲得讀報告體驗不到的真實感,在實踐的過程中可以無縫隙地深入理解漏洞的原理及利用方式 中英雙字,如果您語文學的不好不必擔心了,界面提示英文的(DVWA原廠),內容提示中英雙字(后來覺得比較眼花,所以去掉了部分英文)
Metasploitable
著名的滲透框架 Metasploit 出品方 rapid7 還提供了配置好的環境 Metasploitable,是一個打包好的操作系統虛擬機鏡像,使用 VMWare 的格式。可以使用 VMWare Workstation(也可以用免費精簡版的 VMWare Player )“開機”運行。
鏈接地址:https://information.rapid7.com/metasploitable-download.html
下載地址:http://downloads.metasploit.com/data/metasploitable/metasploitable-linux-2.0.0.zip
OWASP Broken Web Applications Project
跟 Metasploitable 類似,這也是打包好的虛擬機鏡像,預裝了許多帶有漏洞的 Web 應用,有真實世界里的流行網站應用如 Joomla, WordPress 等的歷史版本(帶公開漏洞),也有 WebGoat, DVWA 等專門用於漏洞測試的模擬環境。
鏈接地址:https://code.google.com/p/owaspbwa/
XCTF_OJ
XCTF-OJ (X Capture The Flag Online Judge)是由 XCTF 組委會組織開發並面向 XCTF 聯賽參賽者提供的網絡安全技術對抗賽練習平台。XCTF-OJ 平台將匯集國內外 CTF 網絡安全競賽的真題題庫,並支持對部分可獲取在線題目交互環境的重現恢復,XCTF 聯賽后續賽事在賽后也會把賽題離線文件和在線交互環境匯總至 XCTF-OJ 平台,形成目前全球 CTF 社區唯一一個提供賽題重現復盤練習環境的站點資源。
鏈接地址:http://oj.xctf.org.cn/
PWNABLE.KR
以上都是網頁服務器安全相關的靶場,再推薦一個練習二進制 pwn 的網站:Pwnable.kr。pwnable 這類題目在國外 CTF 較為多見,通常會搭建一個有漏洞(如緩沖區溢出等)的 telnet 服務,給出這個服務后端的二進制可執行文件讓答題者逆向,簡單一點的會直接給源代碼,找出漏洞並編寫利用程序后直接攻下目標服務獲得答案。這個網站里由簡到難列出了許多關卡,現在就上手試試吧。
鏈接地址:http://pwnable.kr/%3Fp%3Dprobs