网络营销
Network marketing

选个“靶子”练练手:15个漏洞测试网站带你飞

发布时间:2015-06-16 23:26

俗话说进攻是最好的防御,而这与信息安全世界并没有什么不同。通过这15个故意存漏洞网站来提升你的黑客技能,你会成为最好的防守者——无论你是一名开发人员、安全管理者、审计师或者测试人员。请牢记:熟能生巧!

1、Bricks

Bricks是一个建立于PHP、使用MySQL数据库的web应用程序,其中含有漏洞并且每个“brick”程序块包含一个需要进行缓解安全漏洞。这是OWASP的一个项目,不仅为教学提供了一个AppSec平台,同时也成为检测web应用程序扫描器的一种方法。

有三种类型的程序块:登录页面、文件上传页面以及内容页面,每种都存在不同类型的漏洞,而这些漏洞都是应用程序中经常遇到的。

想要了解更多OWASP Bricks计划,点这里。

2、bWAPP

网站漏洞测试 网站漏洞 网站安全

代表了缺陷Web应用程序的bWAPP,是“一款免费并且开源的不安全web应用程序”。关注的漏洞超过了100个常见问题,均源自OWASP Top 10。下载

3、Damn Vulnerable iOS App (DVIA)

网站漏洞测试 网站漏洞 网站安全

信息安全工程师@prateekg147近期发布并提供免费下载的DVIA是一款基于iOS 7及以上版本的超级不安全移动app。对于移动app的开发者来说,这个平台非常有用,因为一旦有大量站点可以练习攻击web应用的技能,那么移动app就会让这样的合法攻击难度增加。

去下载一个DVIA吧,可以观看YouTube视频和阅读“开始”指南开启一段神秘黑客之旅。

4、Damn Vulnerable Web Application (DVWA)

网站漏洞测试 网站漏洞 网站安全

这个网络安全平台是由一批经验丰富的安全专家、开发人员以及学生所共同创建的。网站在@ethicalhack3r和Ryan Dewhurst的帮助下建成,二人同时为社区提供了开源SCA工具DevBug。同样建立于PHP、使用MySQL数据库,在DVWA中寻找的漏洞包括SQL注入、跨站脚本攻击绕过验证码及恶意文件执行。

现在可以从这里开始使用DVWA,或者通过Github,同时你还可以查找YouTube视频学习如何安全应用程序。

5、ExploitMe 移动Android实验室

网站漏洞测试 网站漏洞 网站安全

开发者与安全专家一道建立了这个可以模仿攻击者袭击的Android平台。实验室关注Android应用程序中的8个特定常见漏洞,这一平台逐渐成为Android开发者与应用程序捍卫者的安全指南。

实验室课程包括:

·移动流量参数操作

·流量加密

·密码锁屏

·文件系统访问权限

·不安全的文件储存

·不安全日志

福利:ExploitMe 同样出了iPhone版,只是内容上并没有安卓的丰富。

6、黑客游戏

诚然,这并不是一个漏洞web应用程序——而这是另一种学习发现应用程序安全漏洞的吸引人的方式。目前我们已经收到了令人惊叹的安全专家和开发人员的反馈,所以我们很乐意与大家分享这一成果。这个游戏目的是测试你的app安全技能,同时每个或有或无漏洞的问题都提供了大量的代码——这是需要你在时钟走完之前弄明白的。而黑客游戏中的排行榜让游戏更加诱人。

游戏传送门

7、Google Gruyere

网站漏洞测试 网站漏洞 网站安全

“你想在黑客游戏中打败黑客吗?”这种“低级”的漏洞网站随处都是可以挖的洞洞,适合那些刚开始学习应用程序安全性的人。

其目标有三个:

学习黑客发现安全漏洞

学习黑客利用web应用程序

学习如何阻止黑客发现及利用漏洞

该网站介绍:

可喜的是,Gruyere存在包括多个安全漏洞,包括跨站点脚本XSS、跨站点请求伪造CREF、信息曝露、拒绝服务DoS攻击及远程代码执行RCE。网站的目的就是为了指导你发现其中的一些漏洞并学习在Gruyere中解决问题的方法。

使用Python语言编写的Gruyere同时为黑盒和白盒提供了测试机会,这样“黑客”可以在栅栏两边发挥作用。

传送门

注:相关网站建设技巧阅读请移步到建站教程频道。

分享到:0


版权所有:北京企商在线数据通信科技有限公司 CopyRight 2000-2010 NETNIC.COM.CN ,Inc. All Rights reserved

企商在线通过ISO9001国际标准质量体系认证京ISP号 京B2-20060071 京ICP备020429号 京ICP证041498号 京公网安备110108002565号

投诉热线:137-1777-7871