WarGames: Plataformas para practicar y mejorar su conjunto de habilidades de hacking [cerrado]

27

¿Conoce alguna buena plataforma gratuita en la que podamos practicar diferentes vectores de ataque y vulnerabilidades como XSS, inyección SQL, pirateo de bajo nivel, ingeniería inversa, etc.?

Por ejemplo, realmente me gustó Aplastar la pila en ese entonces. (Nota: no se recomienda ingresar a la sección de Etiquetas , solo SSH al servidor y comenzar a jugar).

    
pregunta 0x90 29.07.2015 - 23:23
fuente

5 respuestas

22

Dependiendo de lo que se llame "en línea", una simple búsqueda en Google sobre "malditamente vulnerable" revelará la existencia de aplicaciones que se pueden descargar libremente, incluso de sistemas operativos completos, para, de hecho, conocer todas las formas en que el software puede ser terriblemente vulnerable. Una de ellas es Damn Vulnerable Web App , que es, lo adivinaste, una maldita aplicación web vulnerable. También solía haber un sistema operativo completo llamado Damn Vulnerable Linux ; al parecer, se descontinuó (aunque, por supuesto, la falta de parches de seguridad era su objetivo) pero esta pregunta discute reemplazos.

Estas no son "máquinas en línea" para que usted las piratee, pero puede descargarlas e instalarlas en una máquina virtual en su propia computadora, lo que puede hacerse de forma gratuita (hay buenas soluciones de VM gratuitas, por ejemplo, VirtualBox ) y es mucho más flexible que un objetivo en línea; le enseñará más, ya que puede modificarlo y restablecerlo a voluntad.

Todos estos recursos están sujetos a obsolescencia, modificación y reemplazo, por lo que el punto importante de esta respuesta es proporcionar las palabras clave correctas para la búsqueda. Y estas palabras clave son "malditamente vulnerables".

    
respondido por el Thomas Pornin 29.07.2015 - 23:38
fuente
16

Estos son todos los que recomiendo.

Vulnerabilidad web
 1. Webgoat ( Recommend ) - enlace
 2. EnigmaGroup ( WarGame ) - enlace
 3. Mutillidae ( Good ) enlace
 4. DVWA ( no es tan bueno ) enlace

Vulnerabilidad del sistema operativo
 5. Metasploitable ( Recommend ) - enlace
 6. Ejercicios de explotación ( Muy bien ) enlace
 7. HowToForge ( Específico )

    
respondido por el PypeRanger 30.07.2015 - 02:56
fuente
7

He intentado mantener una lista de recursos útiles para entusiastas de la seguridad en mi sitio web personal . Aquí hay una parte de esto:

Seguridad de la aplicación web

  • Manual de seguridad del navegador - por Michal Zalewski
  • Google Gruyere - Exploits y defensas de aplicaciones web: una aplicación web pequeña y cursi que permite a sus usuarios publicar fragmentos de texto y almacenar una variedad de artículos. archivos.
  • Juego XSS de Google : en este programa de entrenamiento, aprenderás a encontrar y explotar errores XSS
  • Damn Vulnerable Web Application (DVWA) : una ayuda para que los profesionales de seguridad prueben sus habilidades y herramientas en un entorno legal, ayuden a los desarrolladores web comprender mejor los procesos de seguridad de las aplicaciones web y ayudar a los profesores / alumnos a enseñar / aprender la seguridad de las aplicaciones web en un entorno de clase

Explotaciones de memoria

Libros

  • El manual del pirata informático de aplicaciones web: cómo encontrar y explotar fallas de seguridad - Amazon Link
respondido por el Rahil Arora 30.07.2015 - 03:04
fuente
3

Puede encontrar plataformas que brindan los llamados juegos de guerra , como OverTheWire .

En tales juegos, tiene un acceso SSH a una máquina pública con software vulnerable personalizado que debe explotar para poder seguir avanzando.

    
respondido por el yoann 30.07.2015 - 01:46
fuente
1

Hay una plataforma polaca: rozwal.to .

El nombre en inglés significa "destroy.it". Hay alrededor de 50 tareas que varían según el nivel de habilidad necesario y el sujeto (XSS, Inyecciones, SQLi, Steganogrpahy, bitcoins, etc.).

La gran ventaja es que no necesitas instalar nada, simplemente abres las páginas y las hackeas.

También tiene una clasificación para que puedas comparar tus habilidades con otras personas.

    
respondido por el boleslaw.smialy 30.07.2015 - 09:30
fuente

Lea otras preguntas en las etiquetas