WarGames: piattaforme per esercitarsi e migliorare il proprio set di abilità hacking [chiuso]

A seconda di ciò che chiami "online", una semplice ricerca su Google "dannatamente vulnerabile" rivelerà l'esistenza di applicazioni liberamente scaricabili anche di sistemi operativi completi, pensati per, appunto, l'apprendimento di tutti i modi in cui il software può essere orribilmente vulnerabile. Uno di questi è App dannosa vulnerabile , che è, avete indovinato, un'app Web dannatamente vulnerabile. C'era anche un sistema operativo completo chiamato Linux dannatamente vulnerabile ; apparentemente è stato interrotto (anche se ovviamente la mancanza di patch di sicurezza era il punto) ma questa domanda illustra le sostituzioni.

Queste non sono "macchine online" da hackerare, ma puoi scaricarle e installarle su una macchina virtuale sul tuo computer, che può essere eseguita gratuitamente (ci sono buone soluzioni di VM gratuite, ad esempio VirtualBox ) ed è molto più flessibile di un obiettivo online; ti insegnerà di più poiché puoi modificarlo e resettarlo a piacimento.

Tutte queste risorse sono soggette a obsolescenza, modifica e sostituzione, quindi il punto importante di questa risposta è fornire le parole chiave corrette per la ricerca. E queste parole chiave sono "dannatamente vulnerabili".

Questi sono tutto ciò che consiglio.

Vulnerabilità Web
 1. Webgoat ( Recommend ) - link
 2. EnigmaGroup ( WarGame ) - link
 3. Mutillidae ( Buono ) link
 4. DVWA ( non così buono ) link

Vulnerabilità del sistema operativo
 5. Metasploitable ( Recommend ) - link
 6. Exploit Exercises ( Molto buono ) link
 7. HowToForge ( Specifico )

Ho cercato di mantenere un elenco di risorse utili per gli Appassionati di sicurezza sul mio sito web personale . Ecco una parte di esso:

Sicurezza delle applicazioni Web

• Manuale sulla sicurezza del browser - Di Michal Zalewski
• Google Gruyere - Sfruttamento e difese di applicazioni Web - una piccola applicazione web di tipo che consente agli utenti di pubblicare frammenti di testo e archivi assortiti File.
• Gioco XSS di Google - In questo programma di formazione, imparerai a trovare e sfruttare i bug XSS
• Damn Vulnerable Web Application (DVWA) - un aiuto per i professionisti della sicurezza per testare le loro abilità e strumenti in un ambiente legale, aiutare gli sviluppatori web comprendere meglio i processi di protezione delle applicazioni Web e aiutare gli insegnanti / studenti a insegnare / imparare la sicurezza delle applicazioni Web in un ambiente di classe

Exploit di memoria

• Lezioni di David Brumley su exploit e Difese del dirottamento del flusso di controllo
• Corso sulla sicurezza software dell'Università del Maryland su Coursera - esplora le basi della sicurezza del software e copre importanti (e comuni) vulnerabilità del software come buffer overflow, SQL injection e session hijacking
• CTF per la sicurezza incorporata : ti è stato concesso l'accesso a un dispositivo che controlla un lucchetto. Il tuo lavoro: sconfiggi il blocco sfruttando i bug nel codice del dispositivo.

Libri

• Manuale di hacker dell'applicazione Web: individuazione e utilizzo dei difetti di protezione - Amazon Link

Puoi trovare piattaforme che forniscono i cosiddetti wargames , come OverTheWire .

In questi giochi, hai un accesso SSH a un computer pubblico con software vulnerabile personalizzato che devi sfruttare per progredire ulteriormente.

Esiste una piattaforma polacca: rozwal.to .

Il nome in inglese significa "destroy.it". Ci sono circa 50 compiti che variano con il livello di abilità richiesto e il soggetto (XSS, Iniezioni, SQLi, Steganogrpahy, bitcoin ecc.).

Il grande vantaggio è che non è necessario installare nulla, basta semplicemente aprire le pagine e modificarle.

Ha anche una classifica in modo da poter confrontare le tue abilità con gli altri.