Voy a dar una conferencia a un grupo de estudiantes sobre Seguridad de la Información. Voy a explicar los aspectos teóricos de SQLi, desbordamiento de búfer y XSS.
Quería darles una demostración en vivo sin infringir la ley. ¿Sabes de algún marco (tal vez incluso Metasploit sea capaz de esto) que tenga varios de los servicios y programas vulnerables en los que puedo demostrar los ataques?
Existen aplicaciones web deliberadamente vulnerables disponibles de varias fuentes, que se pueden descargar y ejecutar localmente y se han creado para el tipo de actividad que describe.
El OWASP WebGoat Project es uno de esos ejemplos, que ha existido desde hace tiempo y puede ser eficaz se utiliza en una sola máquina para demostrar los principios de las vulnerabilidades de las aplicaciones web.
Como nota al margen, Metasploit es una bestia diferente y es bueno para demostrar cosas como explotar vulnerabilidades de escalada de privilegios remotos, y aunque se puede usar en una sola máquina (con varias máquinas virtuales), encuentro que es más efectivo con al menos dos máquinas separadas (una de las cuales tendrá que tener software vulnerable ejecutándose en él).
Lea otras preguntas en las etiquetas metasploit