收集了一些常見的靶場棕洋,以后的日子不會寂寞了.....
DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql編寫的一套用于常規(guī)WEB漏洞教學(xué)和檢測的WEB脆弱性測試程序嘀趟。包含了SQL注入、XSS妓盲、盲注等常見的一些安全漏洞协怒。鏈接地址:http://www.dvwa.co.uk
mutillidaemutillidaemutillidaemutillidae是一個免費奕删,開源的Web應(yīng)用程序奕坟,提供專門被允許的安全測試和入侵的Web應(yīng)用程序遍搞。它是由Adrian “Irongeek” Crenshaw和Jeremy “webpwnized” Druin.開發(fā)的一款自由和開放源碼的Web應(yīng)用程序罗侯。其中包含了豐富的滲透測試項目,如SQL注入溪猿、跨站腳本钩杰、clickjacking、本地文件包含诊县、遠(yuǎn)程代碼執(zhí)行等.鏈接地址:http://sourceforge.net/projects/mutillidae
SQLolSQLol是一個可配置得SQL注入測試平臺讲弄,它包含了一系列的挑戰(zhàn)任務(wù),讓你在挑戰(zhàn)中測試和學(xué)習(xí)SQL注入語句依痊。此程序在Austin黑客會議上由Spider Labs發(fā)布避除。鏈接地址:https://github.com/SpiderLabs/SQLol
hackxorhackxor是由albino開發(fā)的一個online黑客游戲,亦可以下載安裝完整版進行部署,包括常見的WEB漏洞演練。包含常見的漏洞XSS胸嘁、CSRF瓶摆、SQL注入、RCE等性宏。鏈接地址:http://sourceforge.net/projects/hackxor
BodgeItBodgeIt是一個Java編寫的脆弱性WEB程序群井。他包含了XSS、SQL注入毫胜、調(diào)試代碼书斜、CSRF、不安全的對象應(yīng)用以及程序邏輯上面的一些問題酵使。
Exploit KB該程序包含了各種存在漏洞的WEB應(yīng)用荐吉,可以測試各種SQL注入漏洞。此應(yīng)用程序還包含在BT5里鏈接地址:http://exploit.co.il/projects/vuln-web-app
WackoPickoWackoPicko是由Adam Doupé.發(fā)布的一個脆弱的Web應(yīng)用程序凝化,用于測試Web應(yīng)用程序漏洞掃描工具稍坯。它包含了命令行注射、sessionid問題搓劫、文件包含瞧哟、參數(shù)篡改、sql注入枪向、xss勤揩、flash form反射性xss、弱口令掃描等秘蛔。鏈接地址:https://github.com/adamdoupe/WackoPicko
WebGoatWebGoat是由著名的OWASP負(fù)責(zé)維護的一個漏洞百出的J2EE Web應(yīng)用程序陨亡,這些漏洞并非程序中的bug傍衡,而是故意設(shè)計用來講授Web應(yīng)用程序安全課程的。這個應(yīng)用程序提供了一個逼真的教學(xué)環(huán)境负蠕,為用戶完成課程提供了有關(guān)的線索蛙埂。鏈接地址:http://code.google.com/p/webgoat
OWASP HackademicOWASP Hackademic 是由OWASP開發(fā)的一個項目,你可以用它來測試各種攻擊手法遮糖,目前包含了10個有問題的WEB應(yīng)用程序绣的。鏈接地址:https://code.google.com/p/owasp-hackademic-challenges
XSSeducationXSSeducation是由AJ00200開發(fā)的一套專門測試跨站的程序。里面包含了各種場景的測試欲账。鏈接地址: http://wiki.aj00200.org/wiki/XSSeducation
Google XSS 游戲Google推出的XSS小游戲鏈接地址:https://xss-game.appspot.com/
Web for Pentesterweb for pentester是國外安全研究者開發(fā)的的一款滲透測試平臺屡江,通過該平臺你可以了解到常見的Web漏洞檢測技術(shù)。具體包括 XSS跨站腳本攻擊, SQL注入, 目錄遍歷. 命令注入, 代碼注入, XML攻擊, LDAP攻擊, 文件上傳 以及一些指紋識別技術(shù)
DVWA-WooYun(烏云靶場)DVWA-WooYun是一個基于DVWA的PHP+Mysql漏洞模擬練習(xí)環(huán)境赛不,通過將烏云主站上的有趣漏洞報告建模惩嘉,以插件形式復(fù)現(xiàn)給使用該軟件的帽子們,可以讓烏云帽子們獲得讀報告體驗不到的真實感踢故,在實踐的過程中可以無縫隙地深入理解漏洞的原理及利用方式 中英雙字文黎,如果您語文學(xué)的不好不必?fù)?dān)心了,界面提示英文的(DVWA原廠)畴椰,內(nèi)容提示中英雙字(后來覺得比較眼花臊诊,所以去掉了部分英文)
Metasploitable著名的滲透框架 Metasploit 出品方 rapid7 還提供了配置好的環(huán)境 Metasploitable,是一個打包好的操作系統(tǒng)虛擬機鏡像斜脂,使用 VMWare 的格式〈セ可以使用 VMWare Workstation(也可以用免費精簡版的 VMWare Player )“開機”運行帚戳。鏈接地址:https://information.rapid7.com/metasploitable-download.html下載地址:http://downloads.metasploit.com/data/metasploitable/metasploitable-linux-2.0.0.zip
OWASP Broken Web Applications Project跟 Metasploitable 類似,這也是打包好的虛擬機鏡像儡首,預(yù)裝了許多帶有漏洞的 Web 應(yīng)用片任,有真實世界里的流行網(wǎng)站應(yīng)用如 Joomla, WordPress 等的歷史版本(帶公開漏洞),也有 WebGoat, DVWA 等專門用于漏洞測試的模擬環(huán)境蔬胯。鏈接地址:https://code.google.com/p/owaspbwa/
XCTF_OJXCTF-OJ (X Capture The Flag Online Judge)是由 XCTF 組委會組織開發(fā)并面向 XCTF 聯(lián)賽參賽者提供的網(wǎng)絡(luò)安全技術(shù)對抗賽練習(xí)平臺对供。XCTF-OJ 平臺將匯集國內(nèi)外 CTF 網(wǎng)絡(luò)安全競賽的真題題庫,并支持對部分可獲取在線題目交互環(huán)境的重現(xiàn)恢復(fù)氛濒,XCTF 聯(lián)賽后續(xù)賽事在賽后也會把賽題離線文件和在線交互環(huán)境匯總至 XCTF-OJ 平臺产场,形成目前全球 CTF 社區(qū)唯一一個提供賽題重現(xiàn)復(fù)盤練習(xí)環(huán)境的站點資源。鏈接地址:http://oj.xctf.org.cn/
PWNABLE.KR以上都是網(wǎng)頁服務(wù)器安全相關(guān)的靶場舞竿,再推薦一個練習(xí)二進制 pwn 的網(wǎng)站:Pwnable.kr京景。pwnable 這類題目在國外 CTF 較為多見,通常會搭建一個有漏洞(如緩沖區(qū)溢出等)的 telnet 服務(wù)骗奖,給出這個服務(wù)后端的二進制可執(zhí)行文件讓答題者逆向确徙,簡單一點的會直接給源代碼醒串,找出漏洞并編寫利用程序后直接攻下目標(biāo)服務(wù)獲得答案。這個網(wǎng)站里由簡到難列出了許多關(guān)卡鄙皇,現(xiàn)在就上手試試吧芜赌。鏈接地址:http://pwnable.kr/%3Fp%3Dprobs
