黑客训练模拟器

Question

我从来没有试图破解网站。我刚刚遵循安全准则。现在我想尝试开发更多的安全。

是否有任何带有漏洞和“练习”的“训练网站”，包括SQL注入，重新定义全局变量，XSS和其他类型的漏洞。那种黑客沙箱。

Answer 1

谷歌刚刚的事情，尽量Gruyere

本程式码实验室围绕格鲁耶尔内置/ɡruːjɛər/ - 一个小的，俗气的Web应用程序，它允许用户发布文字片段，并存储各类文件。 “不幸的是，”格鲁耶尔存在多种安全漏洞，从跨站点脚本和跨站请求伪造，到信息泄露，拒绝服务和远程代码执行。这个codelab的目标是引导你通过发现一些错误并学习如何在格鲁耶尔和整体上修复它们。

Answer 2

如果你是一个Java的人，你应该看一看WebGoat：如果您更到MySQL/PHP http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project

看看HackThisSite： http://www.hackthissite.org/

我我总是对HackThisSite有很多乐趣。

Answer 3

的Acunetix提供了几个网站，展示漏洞的各种技术：

http://testphp.vulnweb.com/

http://testaspnet.vulnweb.com

Answer 4

对面this question on vulnerable Operating Systems流行在安全堆栈Exchange或this one on vulnerable servers for penetration testing（尤其是this answer它有一个真棒名单）

我们对这个主题有几个问题或者生成Security Education al，adn作为IT和信息安全的增长资源，它可能会值得你跳出来。内容

段从那边：

http://www.irongeek.com/i.php?page=security/wargames

WebGoat。 WebGoat是一套 故意不安全的Java服务器

http://www.hackthissite.org/

http://www.smashthestack.org/wargames.php

从他们的常见问题

The Smash the Stack Wargaming Network hosts several Wargames. A 

野战于我们而言，可以 描述为道德黑客 环境页支持 仿真真实世界软件 漏洞理论或概念和 允许合法执行 开采技术。软件可以是操作系统，网络 协议或任何用户级应用程序。 大段引用

http://www.astalavista.com/page/wargames.html

http://www.governmentsecurity.org/forum/index.php?showtopic=15442

http://www.overthewire.org/wargames/

名单很长......一些都在涨，有些 不...

更新2011年2月26日，我发现了一个不错 来自 http://r00tsec.blogspot.com/2011/02/pentest-lab-vulnerable-servers.html 。一些链接可能会被打破。我复制 从那里：

Holynix到除冰CD和 pWnOS类似，holynix是故意 内置有对 目的渗透测试的安全漏洞的Ubuntu服务器 VMware镜像。更多 的障碍当然比真实的 世界的例子。 http://pynstrom.net/index.php?page=holynix.php

WackoPicko WackoPicko是一个包含已知漏洞的网站 。 它最早用于纸为什么 约翰尼不能Pentest：的 黑盒网页漏洞扫描器 分析发现： http://cs.ucsb.edu/~adoupe/static/black-box-scanners-dimva2010.pdf https://github.com/adamdoupe/WackoPicko

除冰PenTest的LiveCD的PenTest 的LiveCD是创建Thomas Wilhelm，他被调到 渗透测试团队，他在 公司工作。尽可能快地学习为 很多关于渗透测试 ，托马斯开始寻找工具和目标 。他 发现了一些工具，但没有可用的 目标来练习。 最终，为了缩小学习差距，Thomas创建了使用LiveCD的PenTest场景。 http://de-ice.net/hackerpedia/index.php/De-ICE.net_PenTest_Disks

Metasploitable Metasploitable是 Ubuntu的8.04服务器VMWare的 6.5映像上安装。包括一些易受攻击的软件包，其中包括安装了tomcat 5.5（具有弱 凭据），distcc，tikiwiki，twiki， 和较旧的mysql的 。 http://blog.metasploit.com/2010/05/introducing-metasploitable.html

Owaspbwa开放Web应用安全项目 （OWASP）失效的Web应用程序 项目的 漏洞的Web应用程序的集合。 http://code.google.com/p/owaspbwa/

Web安全道场一个免费的开源 自足的训练环境 Web应用安全 渗透测试。工具+目标= 道场 http://www.mavensecurity.com/web_security_dojo/

Lampsecurity LAMPSecurity训练是 设计为一系列vunlerable 虚拟机映像的与 互补文档沿着设计 教Linux操作系统，Apache，PHP，MySQL的 安全性。 http://sourceforge.net/projects/lampsecurity/files/

该死脆弱Web应用程序（DVWA）该死 脆弱的Web应用程序是一个PHP/MySQL的Web应用程序 是该死的脆弱。 它的主要目标是为 安全专业人员，以测试他们 技能和工具，在法律 环境的辅助工具，帮助Web开发人员 更好地了解 保护Web应用程序的进程和帮助 教师/学生教/学网 应用程序安全在一个教室 环境。 www.dvwa.co.uk/

黑客实验室这是黑客实验室 LiveCD项目。它目前在 贝塔球场。 live-cd是一个 标准化的客户端环境，用于解决我们的Hacking-Lab wargame 来自远程的挑战。 http://www.hacking-lab.com/hl_livecd/

蛾蛾是弱势Web应用程序和 脚本一套 VMware映像，您可以使用： http://www.bonsai-sec.com/en/research/moth.php

该死脆弱的Linux（DVL）该死 弱势Linux是一切良好 Linux发行版不是。它的 开发人员花费了数小时填充 它与破损，配置不当， 过时，和可利用的软件 ，使它容易受到攻击。 DVL不能在您的桌面上运行 - 这是学生安全 的学习工具。 http://www.damnvulnerablelinux.org

pWnOS pWnOS是在“VM图像”，即 创建在其上的目标能够实践 渗透测试;与“目标 ”是为了获得根。它被设计 利用漏洞的做法，与 多个入口点 http://www.backtrack-linux.org/forums/backtrack-videos/2748-%5Bvideo%5D-attacking-pwnos.html http://www.krash.in/bond00/pWnOS%20v1.0.zip

虚拟黑客实验室 故意不安全的应用程序和 旧软件与已知的漏洞 镜像。用于 概念证明/安全 培训/学习的目的。可用 以虚拟图像或实时ISO 或独立格式。 http://sourceforge.net/projects/virtualhacking/files/

Badstore Badstore.net致力于为 帮助您了解黑客 捕食Web应用 漏洞，向您展示 如何降低您的风险。 http://www.badstore.net/

武士刀武士刀是一种便携式多引导 安全套件，它汇集了众多 当今最安全的 分布和便携式 应用程序运行过一个Flash 驱动器。它包括 关注笔测试，审计， 取证，系统恢复，网络 分析和恶意软件删除的发行版。武士刀 也附带超过100个便携式 Windows应用程序;如 Wireshark，Metasploit，NMAP，Cain & 能够，还有更多。 www.hackfromacave.com/katana.html