Список ресурсов для легального взлома

Ресурсы для тех, у кого чешутся руки и… мозг

Для того, чтобы познать стоимость ошибок безопасности в коде не обязательно допускать их в своих проектах. Если у вас есть желание повысить уровень знаний в области информационной безопасности, не нужно ломать чужие сайты. Существуют специализированные сервисы, которые работают в режиме песочницы и предназначенные для взлома. Список таковых находится в полной версии сообщения.

В целом данные ресурсы можно разделить на 2 части:

  • готовые образы виртуальных машин, с установленным набором дырявого софта и скриптов
  • онлайн сервисы, которые предоставляют нам возможность ломать в режиме on air

Оффлайн ресурсы (образы виртуальных машин)

OWASP - собрание уязвимостей в одном месте

Этот проект вобрал в себя всё, что можно представить, вспомнив про уязвимости в веб приложения. Для запуска необходим VMWare player.

FlippingBitbot - получи доступ к командному центру

В данном образе реализована рабочая ботнет сеть. Основная задача – при помощи уязвимостей в компонентах сервера получить доступ к командному центру. Различные типы уязвимостей, пригодится для тех, кто хочет понять как работают ботнеты и разобраться с управлением таковых.

bWAPP - собрание дырявых скриптов

Тут сразу две машины, напичканных дырами. Основной целью является получение root доступа над сервером. Все задания подобраны с юмором, думаю вам будет интересно “потрогать”.

Онлайн ресурсы

Hack Me лучший сайт для исследования веб уязвимостей

Это без сомнений сайт номер 1 для пентеста. Во-первых, потому что авторами заданий являются простые пользователи, как и мы (при желании можно разместить своё задание). Во-вторых, все таски разделены по категориям, что облегчает поиск необходимой цели.

Escape - проверь свои знания в области XSS
Ресурс будет полезен тем, кто хочет проверить и закрепить свои знания в области XSS атак. Представлено 13 уровней сложности, на каждом из которых нужно обойти какую-либо фильтрацию и выполнить заветную функцию: alert(1).

Еще 1 сайт обхода фильтров XSS
CanYouXSSThis – это еще один сайт, на котором нужно обойти анти-XSS фильтры. Фильтры сложные, поэтому если вы пройдете два задания, то сможете гордится собой. Есть возможность просмотра исходника фильтра.

XSS challengeЕще один представитель для обхода фильтров. Вызов приняли уже более 83 тысяч человек. Цель выполнить свой javascript код уложившись в минимальное количество символов.

Hack This Site

Отличная подборка для тех, кто хочет познакомится со многими методами атак на онлайн ресурсы. Существует 10 категорий, в которых находятся задания на различные тематики. Начиная от определения IP адреса сервера, до реверсинга приложений. Кроме этого существуют задания на программирование, будет полезно начинающим парсерописателям.

Security Override

SecurityOverride является аналогом предыдущего сайта. Также имеются категории с разными заданиями, за каждое из которых пополняются баллы. За ссылку спасибо Kronus.

Разное

Inject Some SQL – это исходники на руби. Вы еще не встречались с SQL инъекциями в Ruby on Rails? Тогда линк для вас. Перед началом можно почитать о SQLi в RoR здесь.

 

Помимо всего прочего, частенько проходят CTF соревнования, в которых можно не только получить навыки и умения, но и подзаработать денег. Задания обычно не для новичков, но для повышения квалификации в вопросах взлома – рекомендую поучаствовать. Список предстоящих CTF можно найти тут.