web滲透測試靶站開源系統
阿新 • • 發佈:2019-01-09
- DVWA (Dam Vulnerable Web Application)
DVWA是用PHP+Mysql編寫的一套用於常規WEB漏洞教學和檢測的WEB脆弱性測試程式。包含了SQL注入、XSS、盲注等常見的一些安全漏洞。
連結地址: - mutillidaemutillidae
mutillidaemutillidae是一個免費,開源的Web應用程式,提供專門被允許的安全測試和入侵的Web應用程式。它是由Adrian “Irongeek” Crenshaw和Jeremy “webpwnized” Druin.開發的一款自由和開放原始碼的Web應用程式。其中包含了豐富的滲透測試專案,如SQL注入、跨站指令碼、clickjacking、本地檔案包含、遠端程式碼執行等.
連結地址: - SQLol
SQLol是一個可配置得SQL注入測試平臺,它包含了一系列的挑戰任務,讓你在挑戰中測試和學習SQL注入語句。此程式在Austin黑客會議上由Spider Labs釋出。
連結地址: - hackxor
hackxor是由albino開發的一個online黑客遊戲,亦可以下載安裝完整版進行部署,包括常見的WEB漏洞演練。包含常見的漏洞XSS、CSRF、SQL注入、RCE等。
連結地址: - BodgeIt
BodgeIt是一個Java編寫的脆弱性WEB程式。他包含了XSS、SQL注入、除錯程式碼、CSRF、不安全的物件應用以及程式邏輯上面的一些問題。 - WackoPicko
WackoPicko是由Adam Doupé.釋出的一個脆弱的Web應用程式,用於測試Web應用程式漏洞掃描工具。它包含了命令列注射、sessionid問題、檔案包含、引數篡改、sql注入、xss、flash form反射性xss、弱口令掃描等。
連結地址: - WebGoat
WebGoat是由著名的OWASP負責維護的一個漏洞百出的J2EE Web應用程式,這些漏洞並非程式中的bug,而是故意設計用來講授Web應用程式安全課程的。這個應用程式提供了一個逼真的教學環境,為使用者完成課程提供了有關的線索。
連結地址: - OWASP Hackademic
OWASP Hackademic 是由OWASP開發的一個專案,你可以用它來測試各種攻擊手法,目前包含了10個有問題的WEB應用程式。
連結地址: - XSSeducation
XSSeducation是由AJ00200開發的一套專門測試跨站的程式。裡面包含了各種場景的測試。
連結地址: - Web for Pentester
web for pentester是國外安全研究者開發的的一款滲透測試平臺,通過該平臺你可以瞭解到常見的Web漏洞檢測技術。具體包括 XSS跨站指令碼攻擊, SQL注入, 目錄遍歷. 命令注入, 程式碼注入, XML攻擊, LDAP攻擊, 檔案上傳 以及一些指紋識別技術 - DVWA-WooYun(烏雲靶場)
DVWA-WooYun是一個基於DVWA的PHP+Mysql漏洞模擬練習環境,通過將烏雲主站上的有趣漏洞報告建模,以外掛形式復現給使用該軟體的帽子們,可以讓烏雲帽子們獲得讀報告體驗不到的真實感,在實踐的過程中可以無縫隙地深入理解漏洞的原理及利用方式 中英雙字,如果您語文學的不好不必擔心了,介面提示英文的(DVWA原廠),內容提示中英雙字(後來覺得比較眼花,所以去掉了部分英文) - OWASP Broken Web Applications Project
跟 Metasploitable 類似,這也是打包好的虛擬機器映象,預裝了許多帶有漏洞的 Web 應用,有真實世界裡的流行網站應用如 Joomla, WordPress 等的歷史版本(帶公開漏洞),也有 WebGoat, DVWA 等專門用於漏洞測試的模擬環境。
連結地址: - XCTF_OJ
XCTF-OJ (X Capture The Flag Online Judge)是由 XCTF 組委會組織開發並面向 XCTF 聯賽參賽者提供的網路安全技術對抗賽練習平臺。XCTF-OJ 平臺將彙集國內外 CTF 網路安全競賽的真題題庫,並支援對部分可獲取線上題目互動環境的重現恢復,XCTF 聯賽後續賽事在賽後也會把賽題離線檔案和線上互動環境彙總至 XCTF-OJ 平臺,形成目前全球 CTF 社群唯一一個提供賽題重現覆盤練習環境的站點資源。
連結地址: - PWNABLE.KR
以上都是網頁伺服器安全相關的靶場,再推薦一個練習二進位制 pwn 的網站:Pwnable.kr。pwnable 這類題目在國外 CTF 較為多見,通常會搭建一個有漏洞(如緩衝區溢位等)的 telnet 服務,給出這個服務後端的二進位制可執行檔案讓答題者逆向,簡單一點的會直接給原始碼,找出漏洞並編寫利用程式後直接攻下目標服務獲得答案。這個網站裡由簡到難列出了許多關卡,現在就上手試試吧。
參考連結:
https://blog.csdn.net/bfboys/article/details/52485086