搞Web安全的研究,没有一个本地实验环境是不行的,不能在互联网上乱试。给别人添点麻烦还算是小事,要是一不小心真让你拿下了一个站,结果发现是个蜜罐,你就等着警察叔叔上门吧。所以,安全第一,即使你是在研究安全。
No. Vulnerable Application Platform Remark
1 SPI Dynamics (live) ASP 漏扫厂商的缺陷demo站点,想学习还是可以玩的。有新花样最好本地玩吧,除非你是活雷锋。
2 Cenzic (live) PHP 同1
3 Watchfire (live) ASPX 同1
4 Acunetix 1 (live) PHP 同1
5 Acunetix 2 (live) ASP 同1
6 Acunetix 3 (live) ASP.Net 同1
7 PCTechtips Challenge (live)
online hack challenge, just for fun
8 Damn Vulnerable Web Application PHP/MySQL 有提供Live CD版,适合懒人
9 Mutillidae PHP 针对OWASP的Top 10名单设置针对性的缺陷供你耍,必须推荐
10 The Butterfly Security Project PHP
11 Hacme Casino Ruby on Rails Hacme系列is copyright by McAfee, but toooooooooooold! take it as you will and at your own risk.
12 Hacme Bank 2.0 ASP.NET (2.0) 同上,不解释。
13 Updated HackmeBank ASP.NET (2.0) 链接失效?我没用过。
14 Hacme Books J2EE 还是Hacme。。。
15 Hacme Travel C++ (application client-server) 又是Hacme。。。不过这个是C++的,比较少见。也许有价值,我没用过
16 Hacme Shipping ColdFusion MX 7, MySQL ColdFusion平台的,有针对性的可以搭建一下试试,我没用过
17 OWASP WebGoat JAVA 适合教学
18 OWASP Vicnum PHP, Perl
19 OWASP InsecureWebApp JAVA
20 OWASP SiteGenerator ASP.NET
21 Moth
22 Stanford SecuriBench JAVA
23 SecuriBench Micro JAVA
24 BadStore Perl(CGI)
25 WebMaven/Buggy Bank (very old)
26 EnigmaGroup (live)
27 XSS Encoding Skills x5s (Casaba Watcher) Fiddler的扩展,辅助XSS漏洞挖掘(多种字符编码转换支持)
28 Google Gruyere (live) (previously Jarlsberg) 可以在线玩,GAE supported. So, if you are in CH1N4, you may need a VPN or proxy to access it.
29 Exploit- DB Multi-platform 最真实的Web App漏洞资料库,totally damn real!看上哪个,直接官网下载对应缺陷版本,本地想怎么玩就怎么玩。
30 exploit-kb-vulnerable-web-app PHP/MySQL 文档清晰,易部署,有Vmware Image版,适合懒人
最后的最后,我建议初学者从WebGoat开始,想要实战就从Exploit- DB找case回来,研究怎么bypass各种filter,最后才是如何完美和谐的利用漏洞。
No. Vulnerable Application Platform Remark
1 SPI Dynamics (live) ASP 漏扫厂商的缺陷demo站点,想学习还是可以玩的。有新花样最好本地玩吧,除非你是活雷锋。
2 Cenzic (live) PHP 同1
3 Watchfire (live) ASPX 同1
4 Acunetix 1 (live) PHP 同1
5 Acunetix 2 (live) ASP 同1
6 Acunetix 3 (live) ASP.Net 同1
7 PCTechtips Challenge (live)
online hack challenge, just for fun
8 Damn Vulnerable Web Application PHP/MySQL 有提供Live CD版,适合懒人
9 Mutillidae PHP 针对OWASP的Top 10名单设置针对性的缺陷供你耍,必须推荐
10 The Butterfly Security Project PHP
11 Hacme Casino Ruby on Rails Hacme系列is copyright by McAfee, but toooooooooooold! take it as you will and at your own risk.
12 Hacme Bank 2.0 ASP.NET (2.0) 同上,不解释。
13 Updated HackmeBank ASP.NET (2.0) 链接失效?我没用过。
14 Hacme Books J2EE 还是Hacme。。。
15 Hacme Travel C++ (application client-server) 又是Hacme。。。不过这个是C++的,比较少见。也许有价值,我没用过
16 Hacme Shipping ColdFusion MX 7, MySQL ColdFusion平台的,有针对性的可以搭建一下试试,我没用过
17 OWASP WebGoat JAVA 适合教学
18 OWASP Vicnum PHP, Perl
19 OWASP InsecureWebApp JAVA
20 OWASP SiteGenerator ASP.NET
21 Moth
22 Stanford SecuriBench JAVA
23 SecuriBench Micro JAVA
24 BadStore Perl(CGI)
25 WebMaven/Buggy Bank (very old)
26 EnigmaGroup (live)
27 XSS Encoding Skills x5s (Casaba Watcher) Fiddler的扩展,辅助XSS漏洞挖掘(多种字符编码转换支持)
28 Google Gruyere (live) (previously Jarlsberg) 可以在线玩,GAE supported. So, if you are in CH1N4, you may need a VPN or proxy to access it.
29 Exploit- DB Multi-platform 最真实的Web App漏洞资料库,totally damn real!看上哪个,直接官网下载对应缺陷版本,本地想怎么玩就怎么玩。
30 exploit-kb-vulnerable-web-app PHP/MySQL 文档清晰,易部署,有Vmware Image版,适合懒人
最后的最后,我建议初学者从WebGoat开始,想要实战就从Exploit- DB找case回来,研究怎么bypass各种filter,最后才是如何完美和谐的利用漏洞。
881
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
