Где я могу найти намеренно небезопасное веб-приложение с открытым исходным кодом? [закрыто]

Как разработчик, я узнал, что обычно я лучше понимаю лучшие / худшие практики из опыта. Область безопасности веб-приложений на самом деле не где-то, где моя организация может позволить разработчикам учиться методом проб и ошибок.

Поэтому, ища практический подход к обмену знаниями о передовых практиках в области безопасности веб-приложений, я подумал, что было бы полезно иметь приложение с открытым исходным кодом, которое было специально разработано, чтобы быть небезопасным, чтобы помочь научить начинающих разработчиков безопасности приложений. ,

Кто-нибудь знает, где найти что-то подобное?

13.12.2008 15:10:48
8 ОТВЕТОВ
РЕШЕНИЕ

Существуют онлайн (взломать вызов / практика / веселье) и офлайн (у вас есть исходный код) приложения:

Не в сети :

  • OWASP Webgoat
  • Серия Foundstone Hackme
    • Хакме Банк
    • Hackme Travel
    • Казино Хакме
    • Книги Хакме
  • WebMaven
  • SecuriBench
  • Вы можете загрузить образы VmWare старых уязвимых известных CMS или просто загрузить их из репозиториев (попробуйте sourceforge или официальные старые выпуски и найдите уязвимости в Securityfocus BID )

онлайн

Более реалистичная демонстрация

Это старый список, который я взял откуда-то, некоторые из них могут быть недоступны прямо сейчас.

Задача вроде примеров

24
13.12.2008 16:06:39

Был веб-сайт, который был построен, чтобы иметь неуверенность в нем, и целью было взломать его. Я не могу вспомнить его имя. Я гуглюсь вокруг этого. Буду редактировать как я найду.

Нашел его: имя hackthissite.org .

2
13.12.2008 15:29:30
Спасибо также за эту ссылку! Я только что понял, что у меня есть это в моем списке закладок, помечен как что-то, чтобы исследовать, но на самом деле никогда не удосужился сделать это! (Наверное, я знаю, куда пойдут мои следующие несколько выходных :-))
Athena 13.12.2008 15:38:15

Мне напомнили об этом выступлении на OSCON , хотя оно, вероятно, слишком конкретное, чтобы быть тем, что вы ищете.

0
13.12.2008 15:34:27

Проверьте WebGoat . Это приложение, изобилующее уязвимостями из списка OWASP , разработано в качестве учебного ресурса для разработчиков веб-приложений. Приложение представляет собой учебное пособие, которое знакомит разработчиков с уязвимостями, которые оно содержит, с тестами для каждого урока.

6
13.12.2008 15:50:30

Есть также ... Черт уязвимых веб-приложений (DVWA) ...

здесь ... dvwa.co.uk

2
15.06.2010 10:29:27
dvwa.co.uk (ссылка была недоступна без «www.»)
h3xStream 1.08.2010 00:38:48

Вы также можете практиковать различные варианты SQL-инъекций с SQLol и XML-инъекций / xPath-инъекций с XMLmao .

1
29.10.2012 02:05:11

Вы можете попробовать https://hack.me

Это проект, управляемый сообществом, где размещаются и используются все виды уязвимых веб-приложений. Вы можете запустить их в новой песочнице, безопасно, без загрузки / настройки любого сервера.

Я основатель проекта, но так как это совершенно бесплатный проект, я подумал, что это стоит сказать в дополнение к другим упомянутым ресурсам.

3
9.11.2012 11:17:37

Есть проект OWASP только для документирования всех известных уязвимых веб-приложений: https://www.owasp.org/index.php/OWASP_Vulnerable_Web_Applications_Directory_Project

0
12.03.2014 15:30:40