Consiglio sempre di creare un laboratorio da solo a casa, e questo è davvero molto più facile di quanto tu possa immaginare;

• Installa VirtualBox (questo è gratuito e multipiattaforma)
• Scarica un'immagine CD di Linux (ti consiglierei Debian , anche gratuito)
• Avvia la tua nuova macchina virtuale Debian montando l'immagine del CD e eseguendo l'installazione.
• Installa un database e un server web; %codice%
• Aggiungi una tabella e alcuni dati al tuo database; %codice%
• Crea una pagina php vulnerabile; %codice%
• H4x0r; %codice%

Tutto il processo da zero, forse 1 ora più i tempi di download, e avrai una configurazione da cui puoi davvero imparare - una parte enorme della comprensione degli attacchi deriva dall'impostare te stesso le vulnerabilità, così puoi vedere come possono venire circa.

Questa configurazione ti sarà utile anche se passerai ad altri tipi di sfruttamento del software, come il buffer overflow nei daemon della rete.

Ti consiglio di usare Muttilidae: link

Mutillidae is a free, open source web application provided to allow security enthusiest to pen-test and hack a web application. Mutillidae can be installed on Linux, Windows XP, and Windows 7 using XAMMP making it easy for users who do not want to install or administrate their own webserver

Sarai in grado di praticare l'iniezione SQL.

Puoi trovare elenchi di applicazioni vulnerabili qui:

• link
• link

Uno dei migliori siti Web per trovare informazioni su SQL injection:

• link

L'aspetto eccellente del campo della sicurezza delle informazioni è la quantità enorme di materiale e risorse per la formazione che possono essere trovati su Internet attraverso i contributi della comunità. Proverò a collegarti ad alcune cose che ho trovato abbastanza utili.

SQLi Labs

SQLi è un progetto gestito da Audi-1, un noto amico di #offtopicsec Freenode IRC. Il progetto consiste in applicazioni vulnerabili che consentono di scendere a compromessi / sperimentare insieme a una serie di video disponibili su SecurityTube per consentirne il riferimento come procedura dettagliata. Git del progetto: link Video: link

Applicazioni Web vulnerabili

Hack.me Hack.me è un server web che ti permette di praticare l'utilizzo di applicazioni web su app create da altre persone e anche di caricare le tue applicazioni.

HackAServer.com HackAServer consente la stessa cosa di Hack.me ma non è limitato alle applicazioni web. Fondamentalmente usi OpenVPN per connetterti alla loro rete e da quel momento in poi possono attaccare macchine, molte delle quali avranno vulns di applicazioni web come SQLi.

Macchine virtuali vulnerabili

SecurityTube Tools fa un ottimo lavoro nel coprire tutti i principali VulnVM disponibili affinché le persone possano esercitarsi offline. Questi includono i sistemi operativi completi per il sistema operativo e il pentesting del servizio insieme a quelli solo per i test delle applicazioni web. link

Libri

Ho trovato i seguenti due libri davvero completi e utili per l'apprendimento della sicurezza delle applicazioni web. Quindi se sei pronto per la lettura, allora queste sono alcune buone cose.

• Manuale del pirata informatico dell'applicazione Web
• The Tangled Web: una guida alla protezione delle moderne applicazioni Web [Michal Zalewski]

Dai anche un'occhiata alla dannata applicazione web vulnerabile :

DVWA is great application to practice hacking DVWA is a PHP/MySQL web application that is damn vulnerable. Its main goals are to be light weight, easy to use and full of vulnerabilities to exploit. It can be used to learn or teach the art of web application security in a legal environment.

DVWA contiene numerose vulnerabilità, alcune delle quali sono elencate di seguito:

• SQL Injection
• XSS (Cross Site Scripting)
• LFI (Inclusione file locale)
• RFI (Inclusione file remota)
• Esecuzione comando
• Carica script
• Login Brute Force

Puoi utilizzare questo file .iso con vmware o virtual-box link