8 个容易遭受合法黑客攻击的 Web 应用程序

没有比参加测试更好的方法来增强您对道德黑客技能的信心了。

对于道德黑客和渗透测试人员来说，合法地测试他们的能力可能很困难，因此他们设计不安全的网站并创建安全的网站来测试他们的黑客技能，提供环境是不断挑战自己的好方法。

设计为不安全并提供安全黑客环境的网站和网络应用程序是理想的学习场所。新黑客可以一起学习如何查找漏洞，安全专家和漏洞赏金猎人可以提高他们的专业知识并发现其他新漏洞。

使用易受攻击的网络应用程序

利用这些故意存在漏洞的网站和网络应用程序进行测试，可以为合法且符合法律的测试提供安全的环境。这样您就可以进行黑客攻击，而无需进入可能导致逮捕的危险区域。

这些应用程序旨在帮助安全爱好者学习和磨练他们的信息安全和渗透测试能力。

在本文中，我们列出了几种被称为“高度易受攻击”的应用程序，这些应用程序被故意设计为不安全。

Buggy Web 应用程序，更广为人知的名称是BWAPP ，是一个免费的开源工具。这是一个使用 MySQL 数据库作为后端的 PHP 应用程序。无论您是在准备一项任务，还是只是想保持自己的道德黑客能力达到标准，此 Bwapp 都有 100 多个错误需要解决。这涵盖了所有主要（也是最普遍的）安全缺陷。

该工具源自 OWASP Top 10 项目，包含 100 多个在线应用程序的漏洞和缺陷。以下是一些不足之处：

• 跨站脚本攻击 (XSS) 和跨站请求伪造 (CSRF)
• DoS（拒绝服务）攻击
• 中间人攻击
• 服务器端请求伪造 (SSRF)
• SQL、操作系统命令、HTML、PHP、SMTP 注入等。

该网络应用程序可帮助您进行合法且符合道德的黑客攻击和渗透测试。

您可以通过单击此处轻松下载此 bwapp。

一个非常容易受到攻击的 Web 应用程序

这个高度脆弱的 Web 应用程序（通常称为DVWA ）是用 PHP 和 MySQL 开发的。故意让它容易受到攻击，以便安全专业人员和道德黑客可以测试他们的技能，而不会合法地损害某人的系统。运行 DVWA 需要安装 Web 服务器、PHP 和 MySQL。如果您尚未设置 Web 服务器，安装 DVWA 最简单的方法是下载并安装“XAMPP”。 您可以从这里下载 XAMPP 。

这个极其脆弱的网络应用程序有几个漏洞需要测试。

• 强制
• 执行命令
• CSRF 和文件包含
• XSS和SQL注入
• 文件上传不安全

DVWA 的主要优点是能够设置安全级别并对每个漏洞进行测试。每个级别的安全都需要自己的人员。由于开发人员决定公开源代码，安全研究人员可以调查后端发生的情况。这非常适合研究人员了解这些问题并帮助其他人了解这些问题。

谷歌格鲁耶尔干酪

你不会经常看到“奶酪”和“黑客”这两个词一起使用，但这个网站就像好奶酪一样充满了漏洞。对于想要学习如何查找和利用漏洞以及如何应对漏洞的初学者来说， Gruyere是一个不错的选择。它还使用“奶酪”编码，整个设计基于奶酪。

为了清楚起见，它是用 Python 编写的，并按漏洞类型进行分类。对于每项任务，我们都会提供您将使用黑盒或白盒黑客攻击（或两种技术的组合）发现、利用和识别的漏洞的简要描述。其中一些是：

• 信息披露
• SQL注入
• 跨站请求伪造
• 拒绝服务攻击

尽管需要一些先验知识，但这对于初学者来说是最佳选择。

网络山羊

此列表包含另一个 OWASP 项目和最受欢迎的项目。 WebGoat是一个不安全的程序，您可以使用它来了解服务器端应用程序的常见问题。它旨在帮助人们了解应用程序安全性并练习渗透测试技术。

在每节课中，您将了解特定的安全漏洞并能够在应用程序中利用它。

Webgoat 中包含的一些漏洞包括：

• 缓冲区溢出
• 错误处理不当
• 注射缺陷
• 不安全的通信和设置
• 会话管理缺陷
• 篡改参数

元分析2

在安全研究人员中， Metasploitable 2是最常被利用的在线应用程序。安全爱好者可以使用 Metasploit 和 Nmap 等高端工具来测试该应用程序。

该漏洞应用程序的主要目的是网络测试。它是根据安全研究人员用来发现安全漏洞的流行 Metasploit 程序建模的。您还可以找到该程序的外壳。 WebDAV 、 phpMyAdmin和 DVWA 都是该应用程序的内置功能。

如果您找不到应用程序的 GUI，您仍然可以通过终端或命令行使用多种工具来利用它。您可以检查端口、服务、版本等。这将帮助您评估学习 Metasploit 工具的能力。

极其脆弱的 iOS 应用程序

DVIA是一个 iOS 程序，允许移动安全爱好者、专业人士和开发人员练习渗透测试。它最近重新发布，现在可以在 GitHub 上免费获得。

继续 OWASP 十大移动风险，DVIA 包括典型的 iOS 应用程序漏洞。使用 Swift 开发，所有漏洞均在 iOS 11 之前进行了测试。需要 Xcode 才能使用。

DVIA 提供的一些功能包括：

• 越狱检测
• 网络钓鱼
• 损坏的加密
• 运行时操作
• 应用程序修补
• 二进制补丁

OWASP 鞭子系列 II

Mutillidae II是由 OWASP 开发的开源、免费程序。它被许多安全爱好者使用，因为它提供了一个易于使用的在线黑客环境。它列出了各种漏洞和建议来帮助用户利用它们。如果您喜欢渗透测试和黑客攻击，此 Web 应用程序旨在磨练您的技能。

这包括要测试的各种漏洞，包括点击劫持、身份验证绕过等。其漏洞部分还包括提供更多替代方案的子类别。

您的系统上必须安装XAMPP 。然而，Mutidae 家族包括 XAMPP。还可以在安全模式和非安全模式之间切换。 Mutillidae是一个完整的实验室环境，包含您需要的一切。

网络安全道场

WSD是一个虚拟机，带有 Burp Suite 和Ratproxy等各种工具以及目标机（例如 WebGoat）。这是一个基于Ubuntu 12.04操作系统的开源训练环境。一些目标还包括培训材料和用户指南。

您不需要运行任何其他工具即可使用它。这个虚拟机就是您所需要的。您必须首先安装并运行 VirtualBox 5（或更高版本），但您可以使用 VMware。接下来，将 ova 文件导入 VirtualBox/VMware 中即可完成。它具有与其他 Ubuntu 操作系统相同的操作感觉。

该虚拟机非常适合想要教授漏洞知识的初学者、专家和教师自学和学习。

结论😎

在进入信息安全专业领域之前，您应该具有使用不安全应用程序的实践经验。它将帮助您发展您的能力。

它还可以帮助您识别并练习您的弱点。通过使用专用应用程序练习道德黑客行为，您将更深入地了解您的黑客能力以及您在安全领域的地位。共享信息是有益的。您可以使用这些 Web 应用程序向其他人展示如何查找 Web 应用程序中的典型缺陷。