用于渗透测试练习的 15 个高危 Web应用和网站

1. OWASP Juice Shop

OWASP Juice Shop 是一个现代的、故意设置漏洞的 Web 应用程序，旨在教授网络安全。它涵盖了各种现实世界的漏洞，包括来自 OWASP Top 10 的 XSS、SQL 注入和认证漏洞等。果汁店采用游戏化，让用户在解决问题的同时解锁成就并学习。它是开源的，易于在本地或云端设置。为确保安全，始终在虚拟机或容器化环境中运行。

一款完美的用于道德黑客实践和提升网络安全技能的工具！

https://github.com/juice-shop/juice-shop

https://juice-shop.herokuapp.com/

2. 有漏洞的 Web 应用程序（BWAPP）

BWAPP，即漏洞百出的 Web 应用，是一个免费的开源平台，旨在用于道德黑客实践和安全培训。它使用 PHP 和 MySQL 构建，提供超过 100 个可探索的漏洞，涵盖所有主要和常见的安全漏洞。

无论你是学生、开发者还是安全爱好者，BWAPP 都提供了一种动手实践的方式来磨练你的技能并为现实世界的挑战做好准备。它友好的蜜蜂吉祥物为这个既具有教育意义又强大的学习 Web 应用安全工具增添了一丝轻松愉快的氛围。

http://www.itsecgames.com

3. 易受攻击的 iOS 应用（DVIA）

DVIA 是一个专门用于在 iOS 设备上学习和实践移动应用安全的平台。这个故意设置有漏洞的应用程序专为道德黑客和移动安全爱好者量身定制，以便在受控、合法的环境中探索 iOS 应用程序中的各种弱点。DVIA 的独特之处在于其专注于 iOS 特定的漏洞，如不安全的数据存储、有缺陷的认证和网络安全问题，这些问题在其他平台上较少被解决。它是那些希望深化对移动安全理解的人的绝佳资源。

https://github.com/prateek147/DVIA-v2

4. WebGoat

WebGoat 是由 OWASP 创建的一个故意不安全的网络应用程序，旨在通过实际操作帮助用户了解网络应用安全。专为道德黑客、开发人员和安全专业人士设计，它提供了一个安全的环境来探索漏洞并学习如何减轻它们。该平台结构为一系列课程，每门课程都专注于特定的漏洞，例如 SQL 注入、跨站脚本（XSS）、损坏的访问控制和不安全的反序列化。用户可以与该应用程序互动，利用其弱点，并更深入地了解这些漏洞是如何发生的以及如何预防。

WebGoat 是开源的，可以使用 Docker 或 Java 服务器轻松设置。它是初学者和经验丰富的专业人士在实践、动手方式中加强网络安全知识的理想工具。

https://github.com/WebGoat/WebGoat

5. 极其易受攻击的 Web 应用程序（DVWA）

DVWA是一个基于 PHP/MySQL 的 web 应用程序，旨在为安全专业人员提供一个测试和训练的平台，特别是在网络安全领域。其主要目标是提供一个被故意设计得非常脆弱的环境，以帮助用户学习和利用常见的网络攻击技术。

DVWA 的目标是练习一些最常见的网络漏洞，难度级别各异，界面简单直观。请注意，此软件中既有文档化的漏洞，也有未文档化的漏洞。这是故意的。鼓励您尝试发现尽可能多的问题。

6. Hackazon

Hackazon 是一个易受攻击的 Web 应用程序，旨在模拟现代电子商务平台，使其非常适合练习 Web 安全测试。它具有 SQL 注入、XSS 和不安全的 API 等漏洞，使用户能够在真实环境中探索常见的安全漏洞。Hackazon 是开源的，可以根据不同的测试场景进行定制。它非常适合寻求在实战环境中提升技能的道德黑客和开发者。

https://github.com/rapid7/hackazon

7. XVWA（极限易受攻击的 Web 应用）

XVWA 是一个故意不安全的 Web 应用程序，专为道德黑客和开发者练习和提升他们在网络安全方面的技能而设计。它包含了一系列漏洞，从传统的 SQL 注入和 XSS 到 HTML5 和 Web API 的现代挑战。这个开源平台提供了一个灵活的测试环境，使其成为了解常见和高级网络安全问题的一个优秀工具。XVWA 可以本地部署，非常适合在安全环境中进行实践操作。

https://github.com/s4n7h0/xvwa

8. Mutillidae

Mutillidae 是一个免费的开源易受攻击的 Web 应用程序，旨在通过模拟 OWASP Top 10 漏洞（如 SQL 注入、XSS 和不安全的身份验证）来教授网络安全。它提供了实际动手挑战，帮助用户识别、利用和保障这些弱点。该平台易于在本地服务器上设置，非常适合学生、开发人员和寻求在受控环境中提升其 Web 应用程序安全技能的安全专业人士。

https://github.com/webpwnized/mutillidae

9. TryHackMe

TryHackMe 是一个提供通过虚拟实验室和挑战进行互动式网络安全培训的在线平台。它面向初学者和专业人士，涵盖渗透测试、Web 应用安全和网络等主题。通过指导课程和夺旗（CTF）挑战，它提供了一个在虚拟环境中动手学习的途径。对于任何想要提高其道德黑客技能的人来说，这是一个完美的资源。

https://tryhackme.com

10. Hack The Box (HTB)

Hack The Box 是一个为道德黑客和网络安全专业人士提供测试和提升技能的平台。它提供了一系列挑战，从解决夺旗（CTF）练习到入侵故意设置漏洞的虚拟机。HTB 以其专注于高级场景、真实环境和活跃的社区讨论而闻名，对于安全爱好者来说是一个必试的平台。

https://www.hackthebox.com

11.ROOTME

Root-Me 是一个在线平台，提供超过 400 个挑战，供道德黑客和网络安全爱好者练习技能。涵盖诸如网络安全、密码学、网络漏洞和逆向工程等多样化的主题，适合初学者和高级用户。

Root-Me 通过其逼真的场景和夺旗（CTF）挑战，提供了一种动手学习的体验。该平台还培养了一个强大的社区，用户可以分享见解和解决方案，使其成为网络安全技能提升的优秀资源。

https://www.root-me.org

12 . Hack This Site

Hack This Site 是一个免费且互动的道德黑客培训平台。它提供各种挑战，从入门到高级水平不等，旨在教授用户关于网络应用安全、编码和密码学的不同方面。

该平台模拟现实世界的漏洞，提供解决真实任务、基础编程挑战甚至 CTF 风格谜题的任务。它是那些希望了解道德黑客基础知识并参与活跃在线社区的人的绝佳起点。

https://www.hackthissite.org

13 . VulnHub

VulnHub 是一个提供大量故意易受攻击的虚拟机（VM）的平台，供网络安全爱好者练习渗透测试和道德黑客技术。每个虚拟机都复制了现实场景，使用户能够在安全、离线的环境中发展和完善他们的技能。虚拟机可以下载并设置在本地虚拟化软件上，使其对所有水平的学习者都易于访问。VulnHub 是系统安全和现实世界攻击方法实践训练的优秀资源。

https://www.vulnhub.com

14. PentesterLab

PentesterLab 是一个动手学习的平台，旨在教授 Web 应用安全和渗透测试。它提供可下载的易受攻击的应用程序和逐步指导课程，使其成为初学者和经验丰富的道德黑客的优秀资源。

该平台涵盖了广泛的主题，包括 SQL 注入、XSS、身份验证绕过以及其他 OWASP Top 10 漏洞。PentesterLab 还为完成特定课程提供证书，使其成为技能提升和展示专业知识的宝贵工具。

https://pentesterlab.com

15. PwnTillDawn

PwnTillDawn 是一个提供交互式夺旗（CTF）挑战的道德黑客平台。它模拟真实的公司环境，使用户能够在受控环境中练习渗透测试和利用漏洞。

玩家可以与世界各地的对手竞争，在网络安全、网络应用利用和权限提升等领域磨练技能。PwnTillDawn 非常适合个人学习和竞技黑客体验。

https://online.pwntilldawn.com

原文始发于微信公众号（再说安全）：用于渗透测试练习的 15 个高危 Web应用和网站