sistema de gama prueba de penetración Común

Rango común

• DVWA (Presa web vulnerable, la Aplicación)
  DVWA está escrito en PHP + MySQL conjunto de procedimientos de prueba de la vulnerabilidad de la enseñanza de la vulnerabilidad Web Web convencional y pruebas. Contiene una inyección SQL, XSS, persianas y otros agujeros de seguridad común.
  Enlace Dirección: http://www.dvwa.co.uk

• mutillidaemutillidae
  mutillidaemutillidae es una aplicación web gratuita, de código abierto, se le permita proporcionar prueba de aplicaciones Web de seguridad de intrusión y especializados. Es una aplicación web se compone de Adrian "Irongeek" Crenshaw y Jeremy "webpwnized" Druin. El desarrollo de una fuente libre y abierto. Que contiene una gran cantidad de proyectos de pruebas de penetración, como la inyección SQL, cross-site scripting, clickjacking, archivo local que contiene la ejecución de código remoto, etc.
  dirección del enlace: http://sourceforge.net/projects/mutillidae

• SQLol
  SQLol es una plataforma de prueba configurable fue la inyección de SQL, que contiene una serie de tareas difíciles, le permiten en la prueba de provocación y aprender declaraciones de inyección SQL. Este programa se distribuye en Austin conferencia de hackers por los laboratorios de araña.
  Enlace Dirección: https://github.com/SpiderLabs/SQLol

• hackxor
  hackxor albino desarrollado por un juego de hackers en línea, también puede descargar e instalar la versión completa de la implementación, incluyendo el ejercicio WEB vulnerabilidad común. Contiene vulnerabilidades comunes XSS, CSRF, inyecciones SQL, RCE y así sucesivamente.
  Enlace Dirección: http://sourceforge.net/projects/hackxor

• BodgeIt
  BodgeIt es un programa vulnerabilidad WEB escrito en Java. Él contiene XSS, inyección SQL, código de depuración, CSRF, algunos de los problemas de la inseguridad y la aplicación de destino lógica del programa anterior.

• Explotar KB
  Este paquete contiene la aplicación WEB diversas lagunas, puede probar una variedad de vulnerabilidades de inyección SQL. Esta aplicación también incluye en el bt5
  dirección del enlace: http://exploit.co.il/projects/vuln-web-app

• WackoPicko
  WackoPicko por Adam Doupe. Emitieron una aplicación web vulnerable para probar las herramientas de análisis de vulnerabilidades de aplicaciones Web. Incluye una inyección de línea de comandos, archivos problema SessionID contiene la manipulación de parámetros, inyección SQL, XSS, flash forma reflexiva XSS, débil de exploración contraseña.
  Enlace Dirección: https://github.com/adamdoupe/WackoPicko

• WebGoat
  WebGoat es responsable del mantenimiento de un conocido aplicaciones Web J2EE OWASP defectuoso, estas vulnerabilidades no están en el error de programa, pero diseñados deliberadamente para cursos de seguridad de aplicaciones Web de enseñanza. Esta aplicación proporciona un entorno de enseñanza realista, dado pistas relevantes para el usuario para completar el curso.
  Enlace Dirección: http://code.google.com/p/webgoat

• Hackademic OWASP
  OWASP Hackademic es un proyecto desarrollado por OWASP, puede utilizarlo para probar varios métodos de ataque, actualmente contiene 10 aplicaciones WEB problemáticos.
  Enlace Dirección: https://code.google.com/p/owasp-hackademic-challenges

• XSSeducation
  XSSeducation se dedica al programa de pruebas de cross-site consiste en un desarrollo conjunto AJ00200. Que contiene una variedad de escenarios de prueba.
  Enlace Dirección:  http://wiki.aj00200.org/wiki/XSSeducation

• Google XSS juego
  XSS juegos de Google
  dirección del enlace: https://xss-game.appspot.com/

• Para pentester Web
  Web pentester investigador de seguridad externa para el desarrollo de una plataforma de pruebas de penetración, a través de esta plataforma se puede aprender tecnología común de detección de vulnerabilidades en la Web. Específicamente incluyendo XSS ataques de scripts de sitios, inyección SQL, recorrido de directorio. Comando de inyección, inyección de código, los ataques XML, LDAP ataque, carga de archivos y una tecnología de reconocimiento de huella

• DVWA-WooYun (nubes Rango)
  DVWA-WooYun se basa en el entorno de ejercicio de simulación DVWA vulnerabilidad PHP + MySQL, mediante el modelado interesante informe sobre la vulnerabilidad de las nubes maestro para reproducir la forma de plug-ins para el sombrero que usan el software, se puede dejar que se sombrero de nubes oscuras leer el informe no experimentar el realismo, puede sin problemas en profundidad la comprensión de los principios de las lagunas y los patrones de uso en Inglés palabra doble durante la práctica, si usted no tiene que preocuparse de mala filología, indicaciones de interfaz en Inglés el (original DVWA), palabra doble para autocontenido británica (pero luego me comparo vértigo, por lo que deshacerse de parte del inglés)

• Metasploitable
  著名的渗透框架 Metasploit 出品方 rapid7 还提供了配置好的环境 Metasploitable，是一个打包好的操作系统虚拟机镜像，使用 VMWare 的格式。可以使用 VMWare Workstation（也可以用免费精简版的 VMWare Player ）“开机”运行。
  链接地址：https://information.rapid7.com/metasploitable-download.html
  下载地址：http://downloads.metasploit.com/data/metasploitable/metasploitable-linux-2.0.0.zip

• OWASP Broken Web Applications Project
  跟 Metasploitable 类似，这也是打包好的虚拟机镜像，预装了许多带有漏洞的 Web 应用，有真实世界里的流行网站应用如 Joomla, WordPress 等的历史版本（带公开漏洞），也有 WebGoat, DVWA 等专门用于漏洞测试的模拟环境。
  链接地址：https://code.google.com/p/owaspbwa/

• XCTF_OJ
  XCTF-OJ （X Capture The Flag Online Judge）是由 XCTF 组委会组织开发并面向 XCTF 联赛参赛者提供的网络安全技术对抗赛练习平台。XCTF-OJ 平台将汇集国内外 CTF 网络安全竞赛的真题题库，并支持对部分可获取在线题目交互环境的重现恢复，XCTF 联赛后续赛事在赛后也会把赛题离线文件和在线交互环境汇总至 XCTF-OJ 平台，形成目前全球 CTF 社区唯一一个提供赛题重现复盘练习环境的站点资源。
  链接地址:http://oj.xctf.org.cn/

• PWNABLE.KR
  以上都是网页服务器安全相关的靶场，再推荐一个练习二进制 pwn 的网站：Pwnable.kr。pwnable 这类题目在国外 CTF 较为多见，通常会搭建一个有漏洞（如缓冲区溢出等）的 telnet 服务，给出这个服务后端的二进制可执行文件让答题者逆向，简单一点的会直接给源代码，找出漏洞并编写利用程序后直接攻下目标服务获得答案。这个网站里由简到难列出了许多关卡，现在就上手试试吧。
  链接地址：http://pwnable.kr/%3Fp%3Dprobs

 

原文链接：https://blog.csdn.net/bfboys/article/details/52485086