合法练习黑客技术？这15个网站也许可以帮到你

合法练习黑客技术？这15个网站也许可以帮到你

俗话说得好，最好的防守就是进攻，而这句话同样适用于信息安全领域。接下来，我们将给大家介绍15个最新的网络安全网站。

无论你是开发人员、安全专家、审计人员、或者是渗透测试人员，你都可以利用这些网站来提升你的黑客技术。熟能生巧，请你时刻牢记这一点！

1. bWAPP

bWAPP，即Buggy Web Application，这是一个免费开源的Web应用。该网站的开发者Malik Messelem（@MME_IT）在搭建这个站点时故意留下了大量的安全漏洞，其中还包含有OWASP Top10中的100多个常见安全问题。

bWAPP采用的是PHP+MySQL。对于某些高端用户，bWAPP还提供了一个名为bee-box的定制版Linux虚拟机镜像，系统中已经预装了bWAPP，用户可以直接下载使用。

2.Damn Vulnerable iOS App（DVIA）

DVIA是信息安全工程师@prateekg147设计并开发的一款针对iOS平台的移动端app。

iOS 7及其以上版本都可以安装并使用这款包含大量安全漏洞的app，这个平台对于移动app开发人员是非常有帮助的，因为网上虽然有很多可以练习黑客技术的网站，但是可以用来练习的移动端app则少之又少。

【点我】查看DVIA的帮助文档。

3.Game of Hacks

它其实算不上是一个包含漏洞的Web应用，但是它可以让我们通过另一种方法来学习如何去发现应用程序中的安全漏洞。这是一款非常好玩的游戏，很多安全专家和开发人员都对其给予了高度好评，所以我们才将其推荐给大家。

游戏的目的是为了测试你的应用程序安全技能，游戏中的每个问题都会给你提供一串代码，而你需要在有限的时间内找出这些代码中存在的安全漏洞。

感兴趣的同学可以关注Game of Hacks的Twitter（@gameofhacks）时刻了解详细的更新信息。

4.Google Gruyere

这个网站中存在大量的安全漏洞，专为那些刚开始学习Web应用安全的新手而设计，该网站的目标主要有以下三个：

-学习黑客是如何找出安全漏洞的；

-学习黑客如何利用网站漏洞来实施攻击；

-学习如何防止黑客发现并利用安全漏洞；

Gruyere中包含多种安全漏洞，从跨站脚本漏洞（XSS）到跨站请求伪造（CSRF），从信息披露漏洞到DoS和远程代码执行漏洞等等，该网站“应有尽有”。

需要注意的是，这个网站不仅能够教会你如何寻找安全漏洞，而且还可以告诉你如何去修复这些漏洞。

Gruyere采用Python编写，并且还提供了黑盒测试和白盒测试两种测试方法，所以给位同学可以同时从内部和外部来学习如何对一个Web进行渗透。

5.HackThis!!

HackThis!!可以让你了解黑客是如何进行非法入侵和数据窃取等行为的，并且教会你如何保护自己的网站免受黑客的入侵。

HackThis!!提供了超过五十种难度级别，而且还有一个活跃的在线交流社区，所以HackThis!!也是一个学习黑客技术、了解安全新闻和技术文章的好地方。

6.Hack This Site

对于任何人来说，HackThisSite都是一个练习黑客技术的好地方。该平台提供了黑客新闻、技术文章、黑客论坛和大量新手教程，你可以通过完成网站中的各种挑战任务来学习并练习黑客技术。

7.Hellbound Hackers

光说不练假把式！HellboundHackers给我们提供了一个练习安全技术的平台，我们可以通过完成网站中的各种任务来学习如何发现、利用和修复漏洞。

HellboundHackers还提供了大量的新手教程，其内容覆盖了加密算法、应用破解、社会工程学、以及设备root等安全相关的知识。

其在线社区的注册用户将近有10万人，它也是目前最大的黑客社区之一。

8.McAfee HacMe Sites

Foundstone是McAfee公司的一个专业服务项目，该项目在2006年发布了一系列网站，这些网站可以帮助广大渗透测试人员和安全专家提升自己的技能。

该项目的每一个app都模拟出了真实世界的应用场景，就连其中的安全漏洞也与我们真实生活中的非常相似。

该项目包括以下内容：

-Hacme Bank

-HacmeBank for Android

-HacmeBooks

-HacmeCasino

-HacmeShipping

-HacmeTravel

9.Mutillidae

Mutillidae专为Linux和Windows平台设计，它同样是一个包含大量安全漏洞的Web应用。需要注意的是，这个项目中的PHP脚本不仅包含OWASPTop 10中的所有漏洞，而且还包含很多其他种类的漏洞。

10.OverTheWire

无论你是开发人员还是安全专家，无论你的技术水平如何，OverTheWire都可以帮助你学习和练习各种安全技能。它提供了大量充满乐趣的黑客游戏，我们建议初学者应该从“Bandit”开始玩起。

11.Peruggia

Peruggia给广大安全专家和开发人员提供了一个可以测试Web攻击技术的安全环境，它将教会你如何定位安全漏洞，并降低安全问题所带来的风险。

12.Root Me

Root Me可以让你通过200多个黑客挑战任务以及50多种虚拟环境来提升自己的黑客技术和Web安全知识。

13.Try2Hack

Try2Hack可以算得上是目前上线时间最久的一个黑客技术网站了，这个网站提供了各种难度的黑客游戏，而且新手还可以去社区求助。除此之外，GitHub上也有相关游戏的完整攻略。

14.Vicnum

这是一个OWASP项目，Vicnum的目标是通过一种有趣的方法（即游戏）来为不同的对象提供Web应用安全方面的知识教育服务。

15.WebGoat

WebGoat同样也是一个OWASP项目，这个不安全的app可以让我们在真实环境中学习如何去处理各种复杂的安全问题。

用安全方面的知识教育服务。

15.WebGoat

[外链图片转存中…(img-h8Dms3bV-1696745585470)]

WebGoat同样也是一个OWASP项目，这个不安全的app可以让我们在真实环境中学习如何去处理各种复杂的安全问题。

你可以查看OWASP项目页面来了解更多关于WebGoat的内容【传送门】。接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。