俗話說得好,最好的防守就是進攻,而這句話同樣適用於資訊保安領域。接下來,我們將給大家介紹15個最新的網路安全網站。無論你是開發人員、安全專家、審計人員、或者是滲透測試人員,你都可以利用這些網站來提升你的黑客技術。熟能生巧,請你時刻牢記這一點!
bWAPP,即Buggy Web Application,這是一個免費開源的Web應用。該網站的開發者Malik Messelem(@MME_IT)在搭建這個站點時故意留下了大量的安全漏洞,其中還包含有OWASP Top10中的100多個常見安全問題。
bWAPP採用的是PHP+MySQL。對於某些高階使用者,bWAPP還提供了一個名為bee-box的定製版Linux虛擬機器映象,系統中已經預裝了bWAPP,使用者可以直接下載使用。
DVIA是資訊保安工程師@prateekg147設計並開發的一款針對iOS平臺的移動端app。iOS 7及其以上版本都可以安裝並使用這款包含大量安全漏洞的app,這個平臺對於移動app開發人員是非常有幫助的,因為網上雖然有很多可以練習黑客技術的網站,但是可以用來練習的移動端app則少之又少。
它其實算不上是一個包含漏洞的Web應用,但是它可以讓我們通過另一種方法來學習如何去發現應用程式中的安全漏洞。這是一款非常好玩的遊戲,很多安全專家和開發人員都對其給予了高度好評,所以我們才將其推薦給大家。遊戲的目的是為了測試你的應用程式安全技能,遊戲中的每個問題都會給你提供一串程式碼,而你需要在有限的時間內找出這些程式碼中存在的安全漏洞。
這個網站中存在大量的安全漏洞,專為那些剛開始學習Web應用安全的新手而設計,該網站的目標主要有以下三個:
-學習黑客是如何找出安全漏洞的;
-學習黑客如何利用網站漏洞來實施攻擊;
-學習如何防止黑客發現並利用安全漏洞;
Gruyere中包含多種安全漏洞,從跨站指令碼漏洞(XSS)到跨站請求偽造(CSRF),從資訊披露漏洞到DoS和遠端程式碼執行漏洞等等,該網站“應有盡有”。需要注意的是,這個網站不僅能夠教會你如何尋找安全漏洞,而且還可以告訴你如何去修復這些漏洞。
Gruyere採用Python編寫,並且還提供了黑盒測試和白盒測試兩種測試方法,所以給位同學可以同時從內部和外部來學習如何對一個Web進行滲透。
HackThis!!可以讓你了解黑客是如何進行非法入侵和資料竊取等行為的,並且教會你如何保護自己的網站免受黑客的入侵。HackThis!!提供了超過五十種難度級別,而且還有一個活躍的線上交流社群,所以HackThis!!也是一個學習黑客技術、了解安全新聞和技術文章的好地方。
對於任何人來說,HackThisSite都是一個練習黑客技術的好地方。該平臺提供了黑客新聞、技術文章、黑客論壇和大量新手教程,你可以通過完成網站中的各種挑戰任務來學習並練習黑客技術。
光說不練假把式!HellboundHackers給我們提供了一個練習安全技術的平臺,我們可以通過完成網站中的各種任務來學習如何發現、利用和修復漏洞。HellboundHackers還提供了大量的新手教程,其內容覆蓋了加密演算法、應用破解、社會工程學、以及裝置root等安全相關的知識。其線上社群的註冊使用者將近有10萬人,它也是目前最大的黑客社群之一。
Foundstone是McAfee公司的一個專業服務專案,該專案在2006年釋出了一系列網站,這些網站可以幫助廣大滲透測試人員和安全專家提升自己的技能。該專案的每一個app都模擬出了真實世界的應用場景,就連其中的安全漏洞也與我們真實生活中的非常相似。
該專案包括以下內容:
-Hacme Bank
-HacmeBank for Android
-HacmeBooks
-HacmeCasino
-HacmeShipping
-HacmeTravel
Mutillidae專為Linux和Windows平臺設計,它同樣是一個包含大量安全漏洞的Web應用。需要注意的是,這個專案中的PHP指令碼不僅包含OWASPTop 10中的所有漏洞,而且還包含很多其他種類的漏洞。
無論你是開發人員還是安全專家,無論你的技術水平如何,OverTheWire都可以幫助你學習和練習各種安全技能。它提供了大量充滿樂趣的黑客遊戲,我們建議初學者應該從“Bandit”開始玩起。
Peruggia給廣大安全專家和開發人員提供了一個可以測試Web攻擊技術的安全環境,它將教會你如何定位安全漏洞,並降低安全問題所帶來的風險。
Root Me可以讓你通過200多個黑客挑戰任務以及50多種虛擬環境來提升自己的黑客技術和Web安全知識。
Try2Hack可以算得上是目前上線時間最久的一個黑客技術網站了,這個網站提供了各種難度的黑客遊戲,而且新手還可以去社群求助。除此之外,GitHub上也有相關遊戲的完整攻略。
這是一個OWASP專案,Vicnum的目標是通過一種有趣的方法(即遊戲)來為不同的物件提供Web應用安全方面的知識教育服務。
WebGoat同樣也是一個OWASP專案,這個不安全的app可以讓我們在真實環境中學習如何去處理各種複雜的安全問題。