8个合法练习黑客技巧的易受攻击的网络应用

没有什么比将伦理黑客技能付诸实践更能增强自信心了。

对于和来说，合法地测试他们的能力可能很具有挑战性，因此设计不安全且提供安全测试环境的网站是保持自我挑战的绝佳方式。

设计成不安全且提供安全黑客环境的网站和Web应用程序是理想的学习场所。新手黑客可以通过它们学习如何找到，而安全专业人员和猎人可以增加他们的专业知识并发现其他新的漏洞。

使用易受攻击的Web应用程序

利用这些故意创建的易受攻击的网站和Web应用程序进行测试，可以在法律允许的范围内提供一个安全的环境进行合法测试，同时也站在法律的一边。通过这种方式，您可以在不进入可能导致被捕的危险领域的情况下进行黑客攻击。

这些应用程序旨在帮助安全爱好者学习和提高他们的信息安全和渗透测试能力。

在本文中，我列出了几种故意设计不安全的应用程序类型，通常被称为“可恶的易受攻击应用程序”。

易受错误影响的Web应用程序

易受错误影响的Web应用程序，通常称为，是一种免费且开源的工具。它是一个应用程序，使用数据库作为后端。无论是为了准备任务还是想保持自己的伦理黑客能力达到标准，这个Bwapp都有100多个bug供您解决。它涵盖了所有主要（也是最常见的）安全漏洞。

该工具中包含了100多个在线应用程序漏洞和缺陷，它们是从OWASP Top 10项目中提取出来的。以下是其中一些缺陷：

• 跨站脚本攻击（XSS）和跨站请求伪造（CSRF）
• （拒绝服务）攻击
• 中间人攻击
• 服务器端请求伪造（SSRF）
• SQL、操作系统命令、HTML、PHP和注入等

这个Web应用程序将帮助您进行合法的伦理黑客攻击和渗透测试。

您可以通过轻松下载此bwapp。

可恶的易受攻击Web应用程序

可恶的易受攻击Web应用程序，通常称为，是用PHP和MySQL开发的。它故意保持易受攻击的状态，以便安全专业人员和伦理可以在不侵犯任何人系统的情况下测试他们的技能。要运行DVWA，需要安装Web服务器、PHP和MySQL。如果您还没有设置Web服务器，安装DVWA的最快方法是下载和安装“XAMPP”。。

这个可恶的易受攻击的Web应用程序提供了一些漏洞供您测试。

• 暴力破解
• 命令执行
• CSRF和文件包含
• XSS和SQL注入
• 不安全的文件上传

DVWA的主要优点是我们可以根据每个漏洞设置安全级别进行测试。每个安全级别需要一组独特的技能。由于开发人员决定发布源代码，安全研究人员可以查看后端发生的情况。这对于研究人员学习这些问题并帮助其他人了解它们非常有用。

Google Gruyere

我们很少看到“奶酪”和“黑客”这两个词被一起使用，但这个网站就像美味的奶酪一样，充满了漏洞。 对于想学习如何定位和利用以及如何对抗它们的初学者来说是一个很好的选择。它还使用了“奶酪”编码，整个设计都基于奶酪。

为了让事情变得更简单，它是用Python写的，并按漏洞类型进行分类。对于每个任务，它们将为您提供有关您将找到、利用和识别的漏洞的简要描述，您可以使用黑盒或白盒黑客攻击（或两种技术的组合）来完成每个任务。其中一些漏洞包括：

• 信息泄露
• SQL injection
• 跨站请求伪造
• 拒绝服务攻击

尽管需要一些先前的知识，但对于初学者来说，这是最好的选择。

WebGoat

这个列表包括另一个OWASP项目和最受欢迎的项目之一。 WebGoat是一个不安全的程序，可用于了解常见的服务器端应用程序问题。它旨在帮助人们学习应用程序安全和实践渗透测试技术。

每个课程都允许您了解特定的安全漏洞，然后在应用程序中进行攻击。

Webgoat中有一些特色漏洞：

• 缓冲区溢出
• 错误处理不当
• 注入漏洞
• 不安全的通信和配置
• 会话管理漏洞
• 参数篡改

Metasploitable 2

在安全研究人员中，Metasploitable 2是最常被利用的在线应用程序。安全爱好者可以使用Metasploit和Nmap等高端工具来测试这个应用程序。

这个易受攻击的应用程序的主要目的是network testing。它是根据知名的Metasploit程序建模的，安全研究人员用它来发现安全漏洞。您甚至可能找到这个程序的shell。这个应用程序内置了WebDAV、phpMyAdmin和DVWA。

您可能无法找到应用程序的图形界面，但仍然可以通过终端或命令行使用多种工具来利用它。您可以查看其端口、服务和版本等信息。这将帮助您评估学习Metasploit工具的能力。

Damn Vulnerable iOS App

DVIA是一个iOS应用程序，允许移动安全爱好者、专家和开发人员进行渗透测试。它最近重新发布，并且现在在GitHub上免费提供。

DVIA包含了常见的iOS应用程序漏洞，遵循OWASP Top 10移动风险。它是用Swift开发的，所有漏洞都经过了iOS 11的测试。您需要Xcode来使用它。

DVIA中提供了一些功能：

• 越狱检测
• 钓鱼
• 破解密码学
• 运行时操纵
• 应用程序修补
• 二进制修补

OWASP Mutillidae II

Mutillidae II是一个由OWASP开发的开源免费程序。许多安全爱好者使用它，因为它提供了一个易于使用的在线黑客环境。它提供了各种漏洞以及帮助用户利用这些漏洞的建议。如果渗透测试或黑客是您的爱好，那么这个Web应用程序适合您来提高自己的能力。

它包含了许多要测试的漏洞，包括点击劫持、身份验证绕过等。它的漏洞部分还包括提供更多选择的子类别。

您需要在系统上安装XAMPP。但是，Mutillidae包含了XAMPP。甚至可以在安全和不安全模式之间切换。它是一个完整的实验室环境，包含了您需要的一切。

Web Security Dojo

WSD是一个虚拟机，提供了各种工具，如Burp Suite和ratproxy，以及目标机器（如WebGoat）。它是一个基于Ubuntu 12.04操作系统的开源培训环境。对于一些目标，它还包含了培训资料和用户指南。

你不需要运行任何其他工具来使用它；你只需要这个虚拟机。您需要最初安装和运行VirtualBox 5（或更高版本），或者您可以使用VMware代替。然后，将ova文件导入VirtualBox / VMware，完成任务。它将具有与任何其他Ubuntu操作系统相同的感觉。

这个虚拟机非常适合初学者、专业人士和教师自学和学习漏洞。

结论 😎

在进入信息安全专业领域之前，你必须具备对不安全应用程序的实际操作经验。这有助于发展你的能力。

它还帮助您识别和练习自己的弱点。通过有目的地对专门构建的应用程序进行道德黑客练习，您将更好地了解自己的黑客能力以及在安全领域中的位置。分享信息是有益的。您可以使用这些Web应用程序向他人展示如何发现典型的Web应用程序缺陷。