Ресурсы для тех, у кого чешутся руки и… мозг
Для того, чтобы познать стоимость ошибок безопасности в коде не обязательно допускать их в своих проектах. Если у вас есть желание повысить уровень знаний в области информационной безопасности, не нужно ломать чужие сайты. Существуют специализированные сервисы, которые работают в режиме песочницы и предназначенные для взлома. Список таковых находится в полной версии сообщения.
В целом данные ресурсы можно разделить на 2 части:
- готовые образы виртуальных машин, с установленным набором дырявого софта и скриптов
- онлайн сервисы, которые предоставляют нам возможность ломать в режиме on air
Оффлайн ресурсы (образы виртуальных машин)
Этот проект вобрал в себя всё, что можно представить, вспомнив про уязвимости в веб приложения. Для запуска необходим VMWare player.
[divider top=»no»]
В данном образе реализована рабочая ботнет сеть. Основная задача — при помощи уязвимостей в компонентах сервера получить доступ к командному центру. Различные типы уязвимостей, пригодится для тех, кто хочет понять как работают ботнеты и разобраться с управлением таковых.
[divider top=»no»]
Тут сразу две машины, напичканных дырами. Основной целью является получение root доступа над сервером. Все задания подобраны с юмором, думаю вам будет интересно «потрогать».
[divider top=»no»] [divider top=»no»]Онлайн ресурсы
Это без сомнений сайт номер 1 для пентеста. Во-первых, потому что авторами заданий являются простые пользователи, как и мы (при желании можно разместить своё задание). Во-вторых, все таски разделены по категориям, что облегчает поиск необходимой цели.
[divider top=»no»]
Ресурс будет полезен тем, кто хочет проверить и закрепить свои знания в области XSS атак. Представлено 13 уровней сложности, на каждом из которых нужно обойти какую-либо фильтрацию и выполнить заветную функцию:
alert(1).
[divider top=»no»]
CanYouXSSThis — это еще один сайт, на котором нужно обойти анти-XSS фильтры. Фильтры сложные, поэтому если вы пройдете два задания, то сможете гордится собой. Есть возможность просмотра исходника фильтра.
Еще один представитель для обхода фильтров. Вызов приняли уже более 83 тысяч человек. Цель выполнить свой javascript код уложившись в минимальное количество символов.
Отличная подборка для тех, кто хочет познакомится со многими методами атак на онлайн ресурсы. Существует 10 категорий, в которых находятся задания на различные тематики. Начиная от определения IP адреса сервера, до реверсинга приложений. Кроме этого существуют задания на программирование, будет полезно начинающим парсерописателям.
[divider top=»no»]
SecurityOverride является аналогом предыдущего сайта. Также имеются категории с разными заданиями, за каждое из которых пополняются баллы. За ссылку спасибо Kronus.
Разное
Inject Some SQL — это исходники на руби. Вы еще не встречались с SQL инъекциями в Ruby on Rails? Тогда линк для вас. Перед началом можно почитать о SQLi в RoR здесь.
Помимо всего прочего, частенько проходят CTF соревнования, в которых можно не только получить навыки и умения, но и подзаработать денег. Задания обычно не для новичков, но для повышения квалификации в вопросах взлома — рекомендую поучаствовать. Список предстоящих CTF можно найти тут.
4 replies to “Ресурсы для тех, у кого чешутся руки и… мозг”
kronusme
За hack.me спасибо — посмотрим.
http://securityoverride.org/challenges/ — тож интересный ресурс с задачами из разных областей знаний и разных уровней сложности.
kronusme
не в тему — в блоке «.alert.blue» ссылка от остального текста вообще не отличается.
VY_CMa
Ссылка Fixed, сейчас перетаскиваю блог на другой сервер, поэтому могут пропасть изменения (=
Вообще использую кучу сайтов которые можно поломать, но лень делает своё дело, возможно сегодня опубликую хотя-бы половину из этого списка. За securityoverride спасибо, не слышал о таком, добавлю в списочек.
Andriy
Вот ищо
http://vulnhub.com/
http://www.amanhardikar.com/mindmaps/Practice.html