Nunca he intentado hackear sitios. Acabo de seguir las pautas de seguridad. Ahora quiero intentar desarrollar más seguridad.Hacking simulador de entrenamiento
¿Hay algún "sitio de entrenamiento" con agujeros y "ejercicios", con inyecciones de SQL, la redefinición de variables globales, XSS y otros tipos de agujeros. Tipo de sandbox hacker.
Google acaba la cosa, tratar Gruyere
Este codelab está construido alrededor de Gruyere/ɡruːjɛər/- una aplicación web pequeña, cursi que permite a sus usuarios publicar fragmentos de texto y almacenar archivos de todo tipo. "Desafortunadamente," Gruyere tiene varios errores de seguridad que van desde la creación de scripts entre sitios y la falsificación de solicitudes entre sitios, a la divulgación de información, la denegación de servicio y la ejecución remota de código. El objetivo de este codelab es guiarlo a través del descubrimiento de algunos de estos errores y aprender formas de solucionarlos tanto en Gruyere como en general.
Gruyere se ve bien. Gracias! – fl00r
Si usted es un hombre de Java usted debe echar un vistazo a WebGoat: http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
Si usted está más en MySQL/PHP echar un vistazo a hackthissite: http://www.hackthissite.org/
I' Siempre me he divertido mucho con HackThisSite.
Acunetix ofrece varios sitios que demuestran vulnerabilidades en diversas tecnologías:
Pop través de this question on vulnerable Operating Systems de seguridad Stack Exchange o this one on vulnerable servers for penetration testing (especialmente this answer que tiene una lista impresionante)
Tenemos algunas preguntas sobre este tema o Security Education en gener Además, como un recurso en crecimiento para TI y seguridad de la información, bien podría valer la pena que aparezcas.
de fragmentos del contenido de allá:
http://www.irongeek.com/i.php?page=security/wargames
WebGoat. WebGoat es un conjunto de deliberadamente inseguras de servidor Java páginas
http://www.smashthestack.org/wargames.php
de sus preguntas más frecuentes
The Smash the Stack Wargaming Network hosts several Wargames. AWargame en nuestro contexto se puede describe como un ambiente ético piratería que admite la simulación del software del mundo real teorías o conceptos de vulnerabilidad y permite la ejecución legal de técnicas de explotación. El software puede ser un sistema operativo, protocolo de red o cualquier aplicación de usuario. cita en bloque
http://www.astalavista.com/page/wargames.html
http://www.governmentsecurity.org/forum/index.php?showtopic=15442
http://www.overthewire.org/wargames/
la lista es larga ... algunos son hasta, algunos no ...
Actualización 26 de feb 2011, me encontré con una buena publicación desde http://r00tsec.blogspot.com/2011/02/pentest-lab-vulnerable-servers.html . Algunos enlaces pueden estar rotos. Copio desde allí:
Holynix similar a la de-hielo y Cd de pWnOS, holynix es una imagen VMware Ubuntu Server que fue deliberadamente construida tener agujeros de seguridad para los efectos de las pruebas de penetración. Más de una carrera de obstáculos que un ejemplo real del mundo . http://pynstrom.net/index.php?page=holynix.php
WackoPicko WackoPicko es un sitio web que contiene vulnerabilidades conocidas. Fue utilizado por primera vez para el papel ¿Por Johnny Can not Pentest: un análisis de Negro-box escáneres de vulnerabilidades Web encontró: http://cs.ucsb.edu/~adoupe/static/black-box-scanners-dimva2010.pdf https://github.com/adamdoupe/WackoPicko
de deshielo PenTest LiveCD El PenTest LiveCD son la creación de Thomas Wilhelm, que fue transferido a un equipo de prueba de penetración en la empresa para la que trabajó. Necesitando aprender como mucho sobre las pruebas de penetración como lo más rápido posible, Thomas comenzó en busca de herramientas y objetivos. Él encontró una serie de herramientas, pero no se pueden usar objetivos para practicar. Finalmente, en un intento de reducir la brecha de aprendizaje, Thomas creó escenarios PenTest utilizando LiveCDs. http://de-ice.net/hackerpedia/index.php/De-ICE.net_PenTest_Disks
Metasploitable Metasploitable es un servidor de 8,04 instalación de Ubuntu en una imagen de VMWare 6.5. Se incluyen varios paquetes vulnerables, incluida una instalación de tomcat 5.5 (con débiles credenciales ), distcc, tikiwiki, twiki, y un mysql anterior. http://blog.metasploit.com/2010/05/introducing-metasploitable.html
Proyecto Owaspbwa Abrir seguridad en aplicaciones Web (OWASP) Web Broken Proyecto de Aplicaciones, una colección de aplicaciones web vulnerables. http://code.google.com/p/owaspbwa/
Web Dojo Seguridad Una de código abierto entorno de formación autónomo libre para las pruebas de seguridad en aplicaciones Web penetración.Objetivos herramientas + = Dojo http://www.mavensecurity.com/web_security_dojo/
formación Lampsecurity LAMPSecurity es diseñado para ser una serie de vunlerable imágenes de máquinas virtuales, junto con la documentación complementaria diseñado para enseñar Linux, Apache, PHP, MySQL seguridad. http://sourceforge.net/projects/lampsecurity/files/
Damn Vulnerable Web App (DVWA) Damn Vulnerable aplicación web es un/MySQL Web aplicación PHP que es maldita vulnerables. Sus principales objetivos son ser una ayuda para profesionales de la seguridad a prueba sus habilidades y herramientas en un entorno jurídico , ayudan a los desarrolladores web comprender mejor los procesos de aplicaciones web que sujetan y la ayuda profesores/estudiantes para enseñar/aprender Web seguridad de la aplicación en una sala de clase entorno. www.dvwa.co.uk/
Hacking-Lab Este es el proyecto LiveCD de Hacking-Lab . Actualmente se encuentra en el estadio beta. El live-cd es un entorno de cliente estandarizado para que resuelve nuestros retos de juegos de guerra de Hacking-Lab desde remoto. http://www.hacking-lab.com/hl_livecd/
Polilla Polilla es una imagen de VMware con un conjunto de aplicaciones web vulnerables y guiones, que puede utilizar para: http://www.bonsai-sec.com/en/research/moth.php
Damn Vulnerable Linux (DVL) Maldita Vulnerable Linux es todo lo que un buen distribución de Linux no es. Sus desarrolladores han pasado horas llenando con roto, mal configurado, obsoleto, y el software explotable que lo hace vulnerable a los ataques. DVL no está diseñado para ejecutarse en su computadora de escritorio - es una herramienta de aprendizaje para estudiantes de seguridad . http://www.damnvulnerablelinux.org
pWnOS pWnOS está en una “máquina virtual de la imagen”, que crea un destino en el que practicar pruebas de penetración; con el "objetivo final" es obtener la raíz. Fue diseñado a practicar el uso de exploits, con múltiples puntos de entrada http://www.backtrack-linux.org/forums/backtrack-videos/2748-%5Bvideo%5D-attacking-pwnos.html http://www.krash.in/bond00/pWnOS%20v1.0.zip
virtual de Hacking Lab Un espejo de aplicaciones deliberadamente insegura y softwares viejos conocidos con vulnerabilidades. Utilizado para prueba de concepto/seguridad con fines de capacitación/aprendizaje. Disponible en imágenes virtuales o en vivo iso o formatos independientes. http://sourceforge.net/projects/virtualhacking/files/
Badstore Badstore.net se dedica a ayudar a entender cómo los hackers se aprovechan de aplicación web vulnerabilidades, y para mostrar que cómo reducir su exposición. http://www.badstore.net/
Katana Katana es una suite de seguridad de arranque múltiple portátil que reúne a muchos de mejor seguridad de hoy distribuciones y aplicaciones portátiles a correr un solo flash Drive. Incluye distribuciones que se centran en pruebas de lápiz, auditoría, análisis forense, recuperación del sistema, red y eliminación de malware. Katana también viene con más de 100 aplicaciones portátiles de Windows ; como Wireshark, Metasploit, NMAP, Cain & Capaz, y muchos más. www.hackfromacave.com/katana.html
Una persona más cínico podría decir que la totalidad de Internet está entrenando a los sitios, pero salvo que, tal vez lo que debe hacer usted mismo - aprender acerca de una vulnerabilidad, poner en práctica la vulnerabilidad, explote su implementación y considere cómo se puede reparar su implementación? – mquander