Сервисы для проверки навыков тестирования на проникновение

5292ff06934b49b7a859b8323d405d59.jpg

В прошлом топике я опубликовал обзор дистрибутива PentestBox со ссылками и описанием входящих в него утилит. Надеюсь вам хватило времени ознакомиться с ними и изучить функционал. Сегодня я предлагаю вам несколько сервисов для тестирования своих навыков на практике. Это специализированные сервисы, абсолютно легальные и позволяющие всем желающим проверить свои знания и умения.

Test lab v. 7


https://lab.pentestit.ru

Бесплатная пентест-лаборатория, разработанная на основе корпоративной сети реальной компании.
Сюжет: На этот раз вам, профессиональным хакерам, предстоит произвести взлом реальной сети виртуальной компании «SecureSoft LLC», занимающейся разработкой программного обеспечения. Ситуацию усложняет факт высокой осведомленности в области ИБ сотрудников компании. Согласно отчету наших агентов о состоянии информационной безопасности компании, ИТ-структура «SecureSoft LLC» достаточно хорошо защищена от атак. Однако, есть предположение, что уязвимые места все же имеются. Ваша цель — первыми обнаружить «Ахиллесову пяту» и получить доступ к системам «SecureSoft LLC». Содержит уязвимости веб-приложений, сетевые уязвимости и смешанных типов, онлайн-сервис.

Hack This Site


https://www.hackthissite.org/

Бесплатный, безопасный и законный полигон для хакеров, чтобы проверить и расширить свои навыки взлома. Больше, чем просто еще один WarGames-сайт — множество разнообразных проектов, огромный форум, irc-канал. Миссии разбиты по типам: простые, реалистичные, атаки на приложения, форензика и т.д. Онлайн-сервис.

Hack Me


https://hack.me

Бесплатный проект, созданный и регулируемый eLearnSecurity. Существует возможность разрабатывать и добавлять свои задания. Задания разбиты по конкретным уязвимостям, в основном для новичков. Онлайн-сервис.

Hacking Lab


https://www.hacking-lab.com

Онлайн платформа для изучения сетевой безопасности и повышения навыков этичного хакинга. Содержит задания, приближенные к CTF: форензика, криптография, реверс-инжиниринг. Необходимо скачать образ виртуальной машины и с помошью него подключаться по VPN к лаборатории. Решения, похоже, проверяются вручную.

Enigma Group


http://www.enigmagroup.org/

Сервис создан для тех, кто хочет понимать как устроен безопасный код, как хакеры могут атаковать ваши системы. Содержит уязвимости веб-приложений разного уровня, криптографические, логические, задачи на реверс-инжиниринг. Онлайн-сервис.

bWAPP


http://www.itsecgames.com

Специализированное веб-приложение с открытым исходным кодом. Содержит порядка 100 уязвимостей, классифицированных по методологии OWASP. Одна из самых лучших сборок, must have. Содержится в с специализированной виртуальной машине — bee-box.

Damn Vulnerable Web Application


http://www.dvwa.co.uk/

По словам разработчиков — это веб-приложение чертовски уязвимо. Специалистам по безопасности оно поможет проверить свои навыки в легальной среде, а веб-разработчикам лучше понять процессы защиты своих приложений. Приложение дается в виде PHP/MySQL инстанса для самостоятельного развертывания.

Mutillidae


http://www.irongeek.com/i.php? page=mutillidae/mutillidae-deliberately-vulnerable-php-owasp-top-10

Бесплатная opensource-платформа для тестирования безопасности веб-приложений. Проверена большинством популярных утилит — sqlmap, burp suite и т.д. Наряду с bWAPP — одна из самых известных платформ. Приложение дается в виде PHP/MySQL инстанса для самостоятельного развертывания.

SQLI LABS


https://github.com/Audi-1/sqli-labs

Платформа для тестирования навыков работы с sql-injections. 65 заданий, от простых до сложных (обход WAF, mysql_real_escape_string). Приложение дается в виде PHP/MySQL инстанса для самостоятельного развертывания.

WebGoat Project


http://webgoat.github.io/

Название проекта авторы связывают с синдромом обморочных коз: в чрезвычайных ситуациях коза впадает в полный ступор и падает на спину или набок с вытянутыми ногами. Это присуще породе коз со странным генетическим заболеванием. Также и уязвимый код в приложениях может положить его набок в обморочном состоянии. Основной упор сделан именно на образовательную сторону вопроса, а не создание уязвимой платформы для опытов. WebGoat — кроссплатформенный инструмент, его можно запустить в любой ОС, в которой будут работать Apache Tomcat и Java SDK.

Game of hacks


http://www.gameofhacks.com/

Тест, с различными уровнями сложностями для оценки уровня ваших знаний в уязвимом коде. Дается кусок исходного кода, в котором за определенный промежуток времени вы должны определить и выбрать уязвимость. Онлайн сервис для новичков.

Damn Vulnerable iOS Application


http://damnvulnerableiosapp.com/

Проект для проверки своих знаний в области безопасности iOS приложений. Была представлена на PHD V виде hands-on лаборатории. Позволяет эксплуатировать различные виды уязвимостей iOS приложений: Insecure Data Storage, Runtime Manipulation, Security Decisions via Untrusted input и т.д. Содержится в виде IPA или DEB, уязвимости проверены до iOS 8.1 версии.

ExploitMe Mobile Android Labs


http://securitycompass.github.io/AndroidLabs/index.html

Opensource-проект для демонстрации эксплуатации уязвимостей платформы Android: File system access permissions, Insecure storage of files, Parameter manipulation of mobile traffic и т.д. Необходим эмулятор, база и лаб-сервер.

Данные дистрибутивы помогут вам расширить свои навыки этичного хакера, понять природу уязвимостей и лучше изучить инструментарий. Happy hack!

© Habrahabr.ru