俗話說進攻是最好的防禦，而這與資訊保安世界並沒有什麼不同。通過這15個故意存漏洞網站來提升你的黑客技能，你會成為最好的防守者——無論你是一名開發人員、安全管理者、審計師或者測試人員。請牢記：熟能生巧！

1、Bricks

Bricks是一個建立於PHP、使用MySQL資料庫的web應用程式，其中含有漏洞並且每個“brick”程式塊包含一個需要進行緩解安全漏洞。這是OWASP的一個專案，不僅為教學提供了一個AppSec平臺，同時也成為檢測web應用程式掃描器的一種方法。

有三種類型的程式塊：登入頁面、檔案上傳頁面以及內容頁面，每種都存在不同型別的漏洞，而這些漏洞都是應用程式中經常遇到的。

想要了解更多OWASP Bricks計劃，點

2、bWAPP

代表了缺陷Web應用程式的bWAPP，是“一款免費並且開源的不安全web應用程式”。關注的漏洞超過了100個常見問題，均源自OWASP Top 10。下載

3、Damn Vulnerable iOS App (DVIA)

資訊保安工程師@prateekg147近期釋出並提供免費下載的DVIA是一款基於iOS 7及以上版本的超級不安全移動app。對於移動app的開發者來說，這個平臺非常有用，因為一旦有大量站點可以練習攻擊web應用的技能，那麼移動app就會讓這樣的合法攻擊難度增加。

去下載一個DVIA吧，可以觀看YouTube視訊和閱讀“開始”指南開啟一段神祕黑客之旅。

4、Damn Vulnerable Web Application (DVWA)

這個網路安全平臺是由一批經驗豐富的安全專家、開發人員以及學生所共同建立的。網站在@ethicalhack3r和Ryan Dewhurst的幫助下建成，二人同時為社群提供了開源SCA工具DevBug。同樣建立於PHP、使用MySQL資料庫，在DVWA中尋找的漏洞包括SQL注入、跨站指令碼攻擊繞過驗證碼及惡意檔案執行。

現在可以從這裡開始使用DVWA，或者通過Github，同時你還可以查詢YouTube視訊學習如何安全應用程式。

5、ExploitMe 移動Android實驗室

開發者與安全專家一道建立了這個可以模仿攻擊者襲擊的Android平臺。實驗室關注Android應用程式中的8個特定常見漏洞，這一平臺逐漸成為Android開發者與應用程式捍衛者的安全指南。

實驗室課程包括：

·移動流量引數操作
·流量加密
·密碼鎖屏
·檔案系統訪問許可權
·不安全的檔案儲存
·不安全日誌

傳送門1/傳送門2

福利：ExploitMe 同樣出了iPhone版，只是內容上並沒有安卓的豐富。

6、黑客遊戲

誠然，這並不是一個漏洞web應用程式——而這是另一種學習發現應用程式安全漏洞的吸引人的方式。目前我們已經收到了令人驚歎的安全專家和開發人員的反饋，所以我們很樂意與大家分享這一成果。這個遊戲目的是測試你的app安全技能，同時每個或有或無漏洞的問題都提供了大量的程式碼——這是需要你在時鐘走完之前弄明白的。而黑客遊戲中的排行榜讓遊戲更加誘人。

遊戲傳送門

7、Google Gruyere

“你想在黑客遊戲中打敗黑客嗎？”這種“低階”的漏洞網站隨處都是可以挖的洞洞，適合那些剛開始學習應用程式安全性的人。

其目標有三個：

學習黑客發現安全漏洞
學習黑客利用web應用程式
學習如何阻止黑客發現及利用漏洞

該網站介紹，

可喜的是，Gruyere存在包括多個安全漏洞，包括跨站點指令碼XSS、跨站點請求偽造CREF、資訊曝露、拒絕服務DoS攻擊及遠端程式碼執行RCE。網站的目的就是為了指導你發現其中的一些漏洞並學習在Gruyere中解決問題的方法。

使用Python語言編寫的Gruyere同時為黑盒和白盒提供了測試機會，這樣“黑客”可以在柵欄兩邊發揮作用。

傳送門

8、iGoat

iGoat是專為iOS開發者和基於OWASP WebGoat專案的移動環境。

開發人員通過在iGoat課程的學習：瞭解每個漏洞，有機會利用它們來發現存在的問題，簡述適當的問題修復方式，同時“重建”iGoat程式。

OWASP專案站點，轉到。

9、InsecureWebApp

OWASP專案InsecureWebApp是一款名副其實、非常適合學習提升編碼安全性與設計技能的應用。從專案網站可以瞭解到InsecureWebApp的目標有三個層面：

1）演示應用程式漏洞是有多麼危險
2）縮小web應用程式安全理論與實際設計和建立程式碼中的差距
3）學習如何修復這些漏洞

InsecureWebApp為那些已經熟悉基本應用程式安全理論的人而建，很適合那些安全領域的開發人員、學生以及初學者。

想要了解更多，尋找下載連結請點選這裡。

10、McAfee HacMe Sites

McAfee專業實踐服務Foundstone於2006年建立了為尋求提高資訊保安技能的筆測試人員和安全專家的一系列站點。每個存在“真實”漏洞的模擬應用程式為研究者提供了一個“真實”的經歷。從移動銀行app到預約app，這些專案囊括了廣泛的安全問題來幫助黑客處於行業的領先地位。

這些站點包括：

11、Mutillidae

這是一個免費、開源的Web應用程式，專門提供被允許的安全測試和入侵的Web應用，可以安裝在Linux、windows 7等平臺上。這個專案是一組PHP指令碼，包含OWASP十大漏洞，並提示使用者如何開始。你可以從這裡開始Mutillidate的旅程，請認真觀看YouTube頻道並關注第二代開發者Jeremy Druin的Twitter帳號。

12、安全牧羊人（Security Shepherd）

竭力“將科技世界的迷途羔羊馴回到安全實踐的和平世界”，安全牧羊人致力於讓所有有軟體更加安全。

獲得了經驗與挑戰之後，使用者可以選擇更深入地解漏洞或者在倍加脆弱的web應用程式中了發現漏洞。牧羊人也可以作為奪旗遊戲的基礎，寓教於樂地讓大家發現應用程式安全原則至關重要。

可以在OWASP瞭解更多，或者登入SourceForge頁面直接下載。

13、蝴蝶安全專案

該專案的目的是為了“洞察普通web應用程式和PHP漏洞以及他們是如何在開發過程中被建立的”。

這個專案的獨特之處在於它同時提供了一個不安全版本和安全版本的應用程式，為了降低不安全版本中的漏洞被發現後的影響。這使得蝴蝶專案適合任何想同時扮演攻擊者和防禦者雙重角色的人。

現在適用於Linux的蝴蝶專案請猛戳這裡。

14、Vicnum

作為OWASP中的一個專案，Vicnum更像是一系列基於web應用程式、用來“打發時間”的遊戲。由於他們的框架簡易，應用程式可以調整以滿足不同需求，使Vicnum成為安全管理者教授開發人員應用安全知識的一種有趣方式。

檢視這個網站，下載遊戲或可用插旗遊戲。

15、代罪羔羊（WebGoat）

這是OWASP最受歡迎的專案之一。不安全程式提供了一個顯示教學和學習環境，使用者可以學習到更多更為複雜的應用程式安全問題課程。致力於希望開發人員瞭解更多關於web程式安全知識，WebGoat的名稱參考了代罪羔羊（scapegoat），“即使是最好的程式設計師也不能避免安全錯誤。他們需要一個替罪羊，不是麼？一切只怪這‘羊’”！

安裝可適用於Windows、OSX Tiger、Linux以及J2EE和.NET環境下的獨立下載。這裡有個“簡易執行“版本和一個”原始碼分發”版，可以允許使用者修改原始碼。

尋求課程幫助可以檢視可供下載的這一系列視訊。