我在哪里可以找到故意不安全的开源Web应用程序？

Question

作为开发人员，我了解到我通常会通过经验更好地了解最佳/最差实践。 Web应用程序安全性领域实际上并不是我的组织可以让开发人员通过反复试验来学习的地方。

因此，我正在寻找一种实际的方法来分享Web应用程序安全性最佳实践的知识，我认为有一个开源应用程序是有用的，这个应用程序是故意构建为不安全的，以帮助教授初级开发人员关于应用程序安全性。

有没有人知道在哪里可以找到这样的东西？

Answer 1

有在线（黑客挑战/练习/娱乐）和离线（你有源代码）应用程序：

离线：

• OWASP Webgoat
• Foundstone Hackme Series
  • Hackme Bank
  • Hackme Travel
  • Hackme Casino
  • Hackme Books
• WebMaven
• SecuriBench
• 您可以下载旧的易受攻击的已知CMS的VmWare映像，或者只是从存储库下载它们（尝试使用sourceforge或官方旧版本并查找来自Securityfocus BID的漏洞）

<强>在线

更现实的演示

• http://zero.webappsecurity.com
• http://crackme.cenzic.com
• http://testphp.acunetix.com
• http://testasp.acunetix.com
• http://testaspnet.acunetix.com
• http://hackme.ntobjectives.com

这是我从某个地方抓到的旧列表，其中一些可能现在已经关闭了。

挑战各种例子

• http://hackergames.net/
• http://www.hackthissite.org
• http://www.ngsec.com
• http://www.try2hack.nl
• http://www.hackerslab.org
• http://www.slyfx.com
• http://www.mod-x.co.uk
• http://hackme.elderson.net
• http://mindlock.bestweb.net/join.php
• http://www.cyberarmy.com/zebulun/
• http://www.roothack.org/
• http://hack.datafort.net/
• http://hacknull.com/
• http://wargames.unix.se/
• http://www.osix.net/
• http://www.h4ckerx.ne
• http://www.bright-shadows.net/
• http://www.0penhack.com/
• http://scifi.pages.at/hackits/
• http://lightning.prohosting.com/~thegame/
• http://www.hackquest.de/
• http://www.hack4u.nl
• http://hackergames.net/
• http://bigcontest.securityhack.net
• http://www.hackerss.com
• http://www.izhal.com
• http://www.boinasnegras.com
• http://ambience.digitalshell.net/~llamatron/
• http://www.blind-dice.com
• http://www.arcanum.co.nz
• http://www.ralf-mengwasser.de
• http://www.cyberarmy.com
• http://hackme.elderson.net
• http://www.slyfx.com
• http://lightning.prohosting.com/thegame
• http://digitalparadox.org
• http://www.learntohack.org
• http://x-avier.com
• http://m4tr1x.wsn.at
• http://www.hdcwargame.com
• http://vortex.labs.pulltheplug.com

Answer 2

结帐WebGoat。这是一个充斥着OWASP列表漏洞的应用程序，旨在为Web应用程序开发人员提供学习资源。该应用程序是一个教程，可以让开发人员了解它包含的漏洞，并为每节课进行测试。

Answer 3

您可能想尝试https://hack.me

这是一个社区驱动的项目，托管和共享各种易受攻击的Web应用程序。 您可以安全地在新沙箱中运行它们，而无需下载/配置任何服务器。

我是项目创始人，但由于这是一个完全免费的项目，我认为除了提到的其他优秀资源之外，还值得一提。

Answer 4

有一个网站的建立是为了让它不安全，其目的是破解它。我不记得它的名字。 我正在谷歌上搜索它。我会在编辑时进行编辑。

找到它：名称为hackthissite.org。

Answer 5

还有......该死的易受攻击的网络应用程序（DVWA）...

这里... dvwa.co.uk

Answer 6

您还可以使用SQLol和使用XMLmao的XML Injection / xPath Injection练习各种各样的SQL注入。

Answer 7

我想起了this OSCON talk，虽然它可能太具体了，无法成为你想要的东西。

Answer 8

Theres是一个OWASP项目，仅用于记录所有已知的易受攻击的网络应用：https://www.owasp.org/index.php/OWASP_Vulnerable_Web_Applications_Directory_Project