选个“靶子”练练手:15个缝隙测验网站带你飞
俗话说进攻是最好的防护,而这与信息安全国际并没有什么不同。经过这15个成心存缝隙网站来提高你的黑客技术,你会成为最好的防卫者——不管你是一名开发人员、安全管理者、审计师或许测验人员。请紧记:游刃有余!
1、Bricks
Bricks是一个建立于PHP、运用MySQL数据库的web运用程序,其间含有缝隙而且每个“brick”程序块包含一个需求进行缓解安全缝隙。这是OWASP的一个项目,不仅为教育供给了一个AppSec渠道,一起也成为检测web运用程序扫描器的一种办法。
有三种类型的程序块:登录页面、文件上传页面以及内容页面,每种都存在不同类型的缝隙,而这些缝隙都是运用程序中常常遇到的。
想要了解更多OWASP Bricks方案,点这儿。
2、bWAPP
代表了缺点Web运用程序的bWAPP,是“一款免费而且开源的不安全web运用程序”。重视的缝隙超过了100个常见问题,均源自OWASP Top 10。下载
3、Damn Vulnerable iOS App (DVIA)
信息安全工程师@prateekg147近期发布并供给免费下载的DVIA是一款根据iOS 7及以上版别的超级不安全移动app。关于移动app的开发者来说,这个渠道十分有用,由于一旦有很多站点能够操练进犯web运用的技术,那么移动app就会让这样的合法进犯难度添加。
去下载一个DVIA吧,能够观看YouTube视频和阅览“开端”攻略敞开一段奥秘黑客之旅。
4、Damn Vulnerable Web Application (DVWA)
这个网络安全渠道是由一批经验丰厚的安全专家、开发人员以及学生所一起创立的。网站在@ethicalhack3r和Ryan Dewhurst的协助下建成,二人一起为社区供给了开源SCA东西DevBug。相同建立于PHP、运用MySQL数据库,在DVWA中寻觅的缝隙包含SQL注入、跨站脚本进犯绕过验证码及歹意文件履行。
现在能够从这儿开端运用DVWA,或许经过Github,一起你还能够查找YouTube视频学习怎么安全运用程序。
5、ExploitMe 移动Android实验室
开发者与安全专家一道建立了这个能够仿照进犯者突击的Android渠道。实验室重视Android运用程序中的8个特定常见缝隙,这一渠道逐步成为Android开发者与运用程序保卫者的安全攻略。
实验室课程包含:
·移动流量参数操作
·流量加密
·密码锁屏
·文件体系拜访权限
·不安全的文件贮存
·不安全日志
传送门1/传送门2
福利:ExploitMe 相同出了iPhone版,仅仅内容上并没有安卓的丰厚。
6、黑客游戏
固然,这并不是一个缝隙web运用程序——而这是另一种学习发现运用程序安全缝隙的吸引人的办法。现在咱们现已收到了令人惊叹的安全专家和开发人员的反应,所以咱们很愿意与我们共享这一效果。这个游戏意图是测验你的app安全技术,一起每个或有或无缝隙的问题都供给了很多的代码——这是需求你在时钟走完之前弄理解的。而黑客游戏中的排行榜让游戏愈加诱人。
游戏传送门
7、Google Gruyere
“你想在黑客游戏中打败黑客吗?”这种“初级”的缝隙网站到处都是能够挖的洞洞,合适那些刚开端学习运用程序安全性的人。
其方针有三个:
学习黑客发现安全缝隙
学习黑客运用web运用程序
学习怎么阻挠黑客发现及运用缝隙
该网站介绍,
可喜的是,Gruyere存在包含多个安全缝隙,包含跨站点脚本XSS、跨站点恳求假造CREF、信息曝露、拒绝服务DoS进犯及长途代码履行RCE。网站的意图便是为了辅导你发现其间的一些缝隙并学习在Gruyere中解决问题的办法。
运用Python言语编写的Gruyere一起为黑盒和白盒供给了测验时机,这样“黑客”能够在栅门两头发挥作用。
传送门
8、iGoat
iGoat是专为iOS开发者和根据OWASP WebGoat项意图移动环境。
开发人员经过在iGoat课程的学习:了解每个缝隙,有时机运用它们来发现存在的问题,简述恰当的问题修正办法,一起“重建”iGoat程序。
OWASP项目站点,转到。
9、InsecureWebApp
OWASP项目InsecureWebApp是一款当之无愧、十分合适学习提高编码安全性与规划技术的运用。从项目网站能够了解到InsecureWebApp的方针有三个层面:
[1] [2] 黑客接单网