转自:http://www.freebuf.com/articles/3603.html
名称: WebGoat
项目地址: http://www.owasp.org/index.php/OWASP_WebGoat_Project
简介:OWASP项目,WebGoat是一个用于讲解典型web漏洞的基于J2EE架构的web应用
名称: Vicnum
项目地址: http://www.owasp.org/index.php/Category:OWASP_Vicnum_Project
简介:OWASP项目,一个具有扩展性的WEB程序,可用于评估SQLInj,XSS,Session验证漏洞等问题
名称: InsecureWebApp
项目地址: http://www.owasp.org/index.php/Category:OWASP_Insecure_Web_App_Project
简介:OWASP项目,包含常见典型WEB漏洞,代码可以用于典型的安全审计和安全建模
名称: Web Security Dojo
项目地址: http://www.mavensecurity.com/web_security_dojo/
简介:一套包含常规的WEB渗透检测工具和有漏洞的WEB程序的Ubuntu修改发行版.
名称: Damn Vulnerable Web Application
项目地址: http://dvwa.co.uk/
简介:DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序
名称: The Butterfly Security Project
项目地址: http://sourceforge.net/projects/thebutterflytmp/
简介:DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序
名称: Mutillidae
项目地址: http://www.irongeek.com/i.php?page=security/mutillidae-deliberately-vulnerable-php-owasp-top-10
简介:mutillidae是一个免费,开源的Web应用程序,提供专门被允许的安全测试和入侵的Web应用程序
名称: OWASPBWA
项目地址: http://sourceforge.net/projects/owaspbwa/
简介:OWASP项目,收集了常见的诸如WebGoat等脆弱性WEB程序的VM镜像.
名称: Moth
项目地址: http://www.bonsai-sec.com/en/research/moth.php
简介:Moth是一个包含脆弱性Web应用程序和脚本集的VM镜像
名称: Stanford SecuriBench & SecuriBench Micro
项目地址: http://suif.stanford.edu/%7Elivshits/securibench/ &http://suif.stanford.edu/%7Elivshits/work/securibench-micro/
简介:这里是两个应用,SecuriBench侧重于Java开发的WEB程序,Micro则是前者的精简版,都用于测试常见的WEB程序漏洞
名称: BadStore
项目地址: http://www.badstore.net/
简介:Badstore.net致力于帮助您了解如何黑客如何在Web应用程序寻找漏洞,并教你如何减少Web程序的危险
名称: WebMaven/Buggy Bank
项目地址: http://www.mavensecurity.com/webmaven
简介:WebMaven是一个交互式Web应用程序安全的学习环境。它用于发现并模拟用户的各种安全漏洞
名称: LampSecurity
项目地址: http://sourceforge.net/projects/lampsecurity/
简介:LAMPSecurity是设计用于Linux,Apache,PHP,MySQL安全测试的VM镜像
名称: The Bodgeit Store
项目地址: http://code.google.com/p/bodgeit/
简介:BodgeIt是一个Java编写的脆弱性WEB程序
名称: hackxor
项目地址: http://hackxor.sourceforge.net/cgi-bin/index.pl
简介:hackxor是一个online hackgame,亦可以下载安装完整版进行部署,包括常见的WEB漏洞演练
名称: WackoPicko
项目地址: https://github.com/adamdoupe/WackoPicko
简介:WackoPicko是一个脆弱的Web应用程序,用于测试Web应用程序漏洞扫描工具
DVWA (Dam Vulnerable Web Application)
DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。
链接地址:http://www.dvwa.co.uk
DVWA-WooYun
是一个基于DVWA的PHP+Mysql漏洞模拟练习环境,通过将乌云主站上的有趣漏洞报告建模,以插件形式复现给使用该软件的帽子们,可以让乌云帽子们获得读报告体验不到的真实感,在实践的过程中可以无缝隙地深入理解漏洞的原理及利用方式
mutillidae
是一个免费,开源的Web应用程序,提供专门被允许的安全测试和入侵的Web应用程序。它是由Adrian “Irongeek” Crenshaw和Jeremy “webpwnized” Druin.开发的一款自由和开放源码的Web应用程序。其中包含了丰富的渗透测试项目,如SQL注入、跨站脚本、clickjacking、本地文件包含、远程代码执行等.
链接地址:http://sourceforge.net/projects/mutillidae
SQLol
是一个可配置得SQL注入测试平台,它包含了一系列的挑战任务,让你在挑战中测试和学习SQL注入语句。此程序在Austin黑客会议上由Spider Labs发布。
链接地址:https://github.com/SpiderLabs/SQLol
Sqli Lab
?支持报错注入、二次注入、盲注、Update注入、Insert注入、Http头部注入、二次注入练习等。支持GET和POST两种方式。 https://github.com/Audi-1/sqli-labs
hackxor
是由albino开发的一个online黑客游戏,亦可以下载安装完整版进行部署,包括常见的WEB漏洞演练。包含常见的漏洞XSS、CSRF、SQL注入、RCE等。
链接地址:http://sourceforge.net/projects/hackxor
BodgeIt
是一个Java编写的脆弱性WEB程序。他包含了XSS、SQL注入、调试代码、CSRF、不安全的对象应用以及程序逻辑上面的一些问题。
链接地址:http://code.google.com/p/bodgeit
Exploit KB / exploit.co.il
该程序包含了各种存在漏洞的WEB应用,可以测试各种SQL注入漏洞。此应用程序还包含在BT5里面。
链接地址:http://exploit.co.il/projects/vuln-web-app
WackoPicko
是由Adam Doupé.发布的一个脆弱的Web应用程序,用于测试Web应用程序漏洞扫描工具。它包含了命令行注射、sessionid问题、文件包含、参数篡改、sql注入、xss、flash form反射性xss、弱口令扫描等
链接地址:https://github.com/adamdoupe/WackoPicko
WebGoat
是由著名的OWASP负责维护的一个漏洞百出的J2EE Web应用程序,这些漏洞并非程序中的bug,而是故意设计用来讲授Web应用程序安全课程的。这个应用程序提供了一个逼真的教学环境,为用户完成课程提供了有关的线索
链接地址:http://code.google.com/p/webgoat
OWASP Hackademic
是由OWASP开发的一个项目,你可以用它来测试各种攻击手法,目前包含了10个有问题的WEB应用程序
链接地址:https://code.google.com/p/owasp-hackademic-challenges
XSSeducation是由AJ00200开发的一套专门测试跨站的程序。里面包含了各种场景的测试
链接地址: https://github.com/aj00200/xssed
BadStore BadStore.ne
t致力于帮助你了解黑客黑客如何在Web应用程序中寻找漏洞,并叫你如何减少Web程序的危险。
项目地址:http://www.badstore.net
WebMaven
是一个交互式Web应用程序安全学习环境,它用于发现并模拟用户的各种安全漏洞。
项目地址:http://www.mavensecurity.com/webmaven
LAMPSecurity
设计用于Linux,Apache,PHP,MySQL安全测试的VM镜像。
项目地址:http://sourceforge.net/projects/lampsecurity
———————————————————————————————————————————————–
在线的WEB漏洞程序列表
Ps:通常用于测试自动渗透测试工具的一些站点,也可以通过手工自己来进行练习.
Hacme Game
http://hacmegame.org/
SPI Dynamics
http://zero.webappsecurity.com/
Acunetix 1
http://testphp.vulnweb.com/
Acunetix 2
http://testasp.vulnweb.com/
Acunetix 3
http://testaspnet.vulnweb.com/
PCTechtips Challenge
http://pctechtips.org/hacker-challenge-pwn3d-the-login-form/
Hacme Casino
http://www.mcafee.com/us/downloads/free-tools/hacme-casino.aspx
Hacme Bank 2.0
http://www.mcafee.com/us/downloads/free-tools/hacme-bank.aspx
Updated HackmeBank
http://www.o2-ounceopen.com/technical-info/2008/12/8/updated-version-of-hacmebank.html
Hacme Books
http://www.mcafee.com/us/downloads/free-tools/hacmebooks.aspx
Hacme Travel
http://www.mcafee.com/us/downloads/free-tools/hacmetravel.aspx
Hacme Shippinghttp://www.mcafee.com/us/downloads/free-tools/hacmeshipping.aspx
Hell Bound Hackers
http://hellboundhackers.org/
Vulnerability Assessment
http://www.vulnerabilityassessment.co.uk/
Smash the Stack
http://www.smashthestack.org/
Over the Wire
http://www.overthewire.org/wargames/
Hack This Site
http://www.hackthissite.org/
Hacking Lab
https://www.hacking-lab.com/
We Chall
https://www.wechall.net/
REMnux
http://zeltser.com/remnux/
EnigmaGroup(Pentester train)http://www.enigmagroup.org/
参考:
http://www.felipemartins.info/2011/05/pentesting-vulnerable-study-frameworks-complete-list/
https://www.owasp.org/index.php/Phoenix/Tools#Test_sites