Ho intenzione di tenere un gruppo di studenti sulla sicurezza delle informazioni. Sto andando a spiegare i lati teorici di SQLi, Buffer Overflow e XSS.
Volevo dare loro una dimostrazione dal vivo senza infrangere la legge. Ti capita di conoscere qualche framework (forse anche Metasploit è capace di questo) che ha vari servizi e programmi vulnerabili su cui posso dimostrare gli attacchi?
Esistono applicazioni Web volutamente vulnerabili disponibili da diverse fonti, che possono essere scaricate ed eseguite localmente e sono state create per il tipo di attività che descrivi.
Il OWASP WebGoat Project è uno di questi esempi, che è stato intorno un po 'e può essere efficace utilizzato su una singola macchina per dimostrare i principi delle vulnerabilità delle app Web.
Come nota a margine, Metasploit è una bestia diversa ed è utile per dimostrare cose come lo sfruttamento delle vulnerabilità di escalation dei privilegi remoti, e mentre può essere usato su una singola macchina (con più VM) trovo che sia più efficace con almeno due macchine separate (una delle quali dovrà avere un software vulnerabile in esecuzione su di essa).
Leggi altre domande sui tag metasploit