Рекомендуемые 10 стрельбищ, на которых новичкам следует практиковаться при тестировании на проникновение!
Рекомендуемые 10 стрельбищ, на которых новичкам следует практиковаться при тестировании на проникновение!

Тестирование на проникновение — один из важных навыков в области сетевой безопасности. Я считаю, что многие друзья не знают, с чего начать изучение тестирования на проникновение. Ниже приведены 10 стрельбищ, рекомендуемых для новичков. Эти стрельбища могут помочь новичкам практиковаться и совершенствоваться. навыки тестирования на проникновение!

1、DVWA(Damn Vulnerable Web Application)

DVWA — очень популярное веб-приложение с открытым исходным кодом. Безопасность тир.,Это тир, который обязательно нужно посетить новичкам в области безопасности.,использоватьPHP+MySQL Написано с учетом множества распространенных уязвимостей безопасности. Например, взлом методом грубой силы, внедрение командной строки, подделка межсайтовых запросов и т. д., включая OWASP. Все уязвимости атак в ТОП10. Он обеспечивает пошаговую среду обучения тестированию на проникновение для низкого, среднего и высокого уровней, которая очень подходит новичкам для постепенного улучшения своих навыков.

Ссылка на проект:

Язык кода:javascript
копировать
http://www.dvwa.co.uk 

Исходный код проекта:

Язык кода:javascript
копировать
https://github.com/digininja/DVWA

Онлайн-тир:

Язык кода:javascript
копировать
https://dvwa.bachang.org/

2、Webgoat

WebGoatэтоOWASPОрганизационно развитыйWebприложение Уязвимость экспериментальная платформа безопасности для демонстрации и обучения типичной Уязвимости в веб-приложениях безопасности。

Онлайн-тир:

Язык кода:javascript
копировать
https://webgoat-server.bachang.org/WebGoat/login

3、Try Hack Me

Try Hack Meэто онлайн Тестирование на Платформа проникновения предоставляет богатый тир и практическую среду, чтобы помочь пользователям изучить сетевую безопасность Навык、продвигать Тестирование на способность проникновения. Моделируя сценарии хакерских атак, пользователи могут практиковать различные методы взлома и методы использования в среде безопасности, помогая пользователям изучать сетевую безопасность. безопасность Навык并продвигать Тестирование на Возможности проникновения, подходящие для пользователей разного уровня подготовки.

Официальный сайт:

Язык кода:javascript
копировать
https://tryhackme.com/

4、Pikachu

Pikachu — это учебная платформа, объединяющая различные уязвимости веб-безопасности. Она похожа на стрельбище DVWA, имеет общие уязвимости веб-безопасности и имеет китайский интерфейс. Она подходит для новичков, которые могут отработать основные уязвимости веб-безопасности.

Исходный код проекта:

Язык кода:javascript
копировать
https://github.com/zhuifengshaonianhanlu/pikachu

Онлайн-тир:

Язык кода:javascript
копировать
https://pikachu.bachang.org/

5、Vulnstack

Платформа для стрельбища с открытым исходным кодом, принадлежащая Хунри.,Имитировать среду отечественного предприятия。КрышкаCMS、лазейкиуправлять、域управлять等;кATT&CKМодель оценки красной команды как дизайнерская идея;Обеспечить всесторонний опыт наступательных и оборонительных тренировок.。Обеспечить всесторонний опыт наступательных и оборонительных тренировок.,От построения среды до использования лазейок, Интранет-коллекция, Прочный контроль и т. д.

адрес:

Язык кода:javascript
копировать
http://vulnstack.qiyuanxuetang.net/vuln/
http://vulnstack.qiyuanxuetang.net/

6、Vulhub

Коллекция сред уязвимостей на основе Docker и Docker-compose. Вам нужно всего лишь войти в соответствующий каталог и выполнить оператор, чтобы запустить новую среду уязвимостей, что облегчает воспроизведение уязвимостей и позволяет исследователям безопасности больше сосредоточиться на самом принципе уязвимости.

Официальный адрес сайта:

Язык кода:javascript
копировать
https://vulhub.org/

Адрес проекта:

Язык кода:javascript
копировать
https://github.com/vulhub/vulhub 

7、Upload-labs

Upload-Labsсосредоточиться Стрельбище для загрузки файлов лазейки, которое можно использовать для тестирования различных лазейок, связанных с загрузкой файлов. Новичкам подойдет специальное упражнение по загрузке файлов.

адрес:https://github.com/c0ny1/upload-labs

8、XSS-labs

Тир, посвященный уязвимостям межсайтового скриптинга (XSS). Предоставляет практическую среду для устранения множества уязвимостей XSS, включая отраженный, хранимый XSS и XSS типа DOM. Он подходит новичкам для углубленной практики и понимания XSS-уязвимостей.

адрес:https://github.com/do0dl3/xss-labs

9、SQLi-labs

Стрельба сосредоточена на уязвимостях SQL-инъекций, включая большинство типов SQL-инъекций, а упражнения по эксплуатации уязвимостей проводятся в режиме прорыва. Сложность установки аналогична DVWA и относительно проста. Он подходит новичкам для систематического изучения и практики уязвимостей SQL-инъекций.

адрес:https://sqli-labs.bachang.org/ или https://github.com/Audi-1/sqli-labs

10、Hack The Box

Онлайн-тир по безопасности зарубежных сетей. Тир разделен на несколько категорий, охватывающих области Интернета, вирусного анализа, криптографии, обратного проектирования и т. д. В каждой категории есть несколько сложных проектов, от базовых до продвинутых, подходящих для разных навыков. уровень пользователя. Существует несколько проектов испытаний, от базовых до продвинутых, что гарантирует, что пользователи с разными уровнями навыков смогут найти подходящие задачи, которые стоит попробовать.

адрес:https://www.hackthebox.com/

Наконец, я добавлю для вас еще два:

  • MutillidaeЭто бесплатный и открытый исходный код Web Приложение, обеспечивающее специально разрешенную среду тестирования безопасности и предотвращения вторжений, содержащее обширную базу данных Тестирование. на такие предметы, как проникновение SQL Внедрение, межсайтовый скриптинг, кликджекинг, включение локальных файлов, удаленное выполнение кода и т. д. Ссылка на проект:http://sourceforge.net/projects/mutillidae
  • Metasploitable:Известная система проникновения,Это упакованный образ виртуальной машины операционной системы.,использовать VMware формат. Можно использовать VMware 运行。Ссылка на проект:https://github.com/rapid7/metasploitable3

Каждый из этих стрельбищ имеет свои особенности и охватывает различные сценарии тестирования на проникновение, от базового до продвинутого. Новички могут выбрать подходящее стрельбище для тренировок, исходя из своих потребностей и интересов, чтобы постепенно улучшать свои возможности в тестировании на проникновение.

При проведении тестов на проникновение обязательно соблюдайте юридические и этические правила и проводите тестирование только в разрешенных законом средах, а не в незаконных целях. В то же время упражнения на стрельбище — это лишь часть обучения тестированию на проникновение. Вам также необходимо сочетать изучение теоретических знаний, анализ реальных случаев и участие в обменах сообществами безопасности, чтобы постоянно совершенствовать свои навыки и опыт.

Если вы считаете эту статью полезной, подписывайтесь, ставьте лайки, смотрите и делитесь ею в своем кругу друзей!

boy illustration
Углубленный анализ переполнения памяти CUDA: OutOfMemoryError: CUDA не хватает памяти. Попыталась выделить 3,21 Ги Б (GPU 0; всего 8,00 Ги Б).
boy illustration
[Решено] ошибка установки conda. Среда решения: не удалось выполнить первоначальное зависание. Повторная попытка с помощью файла (графическое руководство).
boy illustration
Прочитайте нейросетевую модель Трансформера в одной статье
boy illustration
.ART Теплые зимние предложения уже открыты
boy illustration
Сравнительная таблица описания кодов ошибок Amap
boy illustration
Уведомление о последних правилах Points Mall в декабре 2022 года.
boy illustration
Даже новички могут быстро приступить к работе с легким сервером приложений.
boy illustration
Взгляд на RSAC 2024|Защита конфиденциальности в эпоху больших моделей
boy illustration
Вы используете ИИ каждый день и до сих пор не знаете, как ИИ дает обратную связь? Одна статья для понимания реализации в коде Python общих функций потерь генеративных моделей + анализ принципов расчета.
boy illustration
Используйте (внутренний) почтовый ящик для образовательных учреждений, чтобы использовать Microsoft Family Bucket (1T дискового пространства на одном диске и версию Office 365 для образовательных учреждений)
boy illustration
Руководство по началу работы с оперативным проектом (7) Практическое сочетание оперативного письма — оперативного письма на основе интеллектуальной системы вопросов и ответов службы поддержки клиентов
boy illustration
[docker] Версия сервера «Чтение 3» — создайте свою собственную программу чтения веб-текста
boy illustration
Обзор Cloud-init и этапы создания в рамках PVE
boy illustration
Корпоративные пользователи используют пакет регистрационных ресурсов для регистрации ICP для веб-сайта и активации оплаты WeChat H5 (с кодом платежного узла версии API V3)
boy illustration
Подробное объяснение таких показателей производительности с высоким уровнем параллелизма, как QPS, TPS, RT и пропускная способность.
boy illustration
Удачи в конкурсе Python Essay Challenge, станьте первым, кто испытает новую функцию сообщества [Запускать блоки кода онлайн] и выиграйте множество изысканных подарков!
boy illustration
[Техническая посадка травы] Кровавая рвота и отделка позволяют вам необычным образом ощипывать гусиные перья! Не распространяйте информацию! ! !
boy illustration
[Официальное ограниченное по времени мероприятие] Сейчас ноябрь, напишите и получите приз
boy illustration
Прочтите это в одной статье: Учебник для няни по созданию сервера Huanshou Parlu на базе CVM-сервера.
boy illustration
Cloud Native | Что такое CRD (настраиваемые определения ресурсов) в K8s?
boy illustration
Как использовать Cloudflare CDN для настройки узла (CF самостоятельно выбирает IP) Гонконг, Китай/Азия узел/сводка и рекомендации внутреннего высокоскоростного IP-сегмента
boy illustration
Дополнительные правила вознаграждения амбассадоров акции в марте 2023 г.
boy illustration
Можно ли открыть частный сервер Phantom Beast Palu одним щелчком мыши? Супер простой урок для начинающих! (Прилагается метод обновления сервера)
boy illustration
[Играйте с Phantom Beast Palu] Обновите игровой сервер Phantom Beast Pallu одним щелчком мыши
boy illustration
Maotouhu делится: последний доступный внутри страны адрес склада исходного образа Docker 2024 года (обновлено 1 декабря)
boy illustration
Кодирование Base64 в MultipartFile
boy illustration
5 точек расширения SpringBoot, супер практично!
boy illustration
Глубокое понимание сопоставления индексов Elasticsearch.
boy illustration
15 рекомендуемых платформ разработки с нулевым кодом корпоративного уровня. Всегда найдется та, которая вам понравится.
boy illustration
Аннотация EasyExcel позволяет экспортировать с сохранением двух десятичных знаков.