Listado de aplicaciones web inseguras
El amigo Wysopal (“quizá me conocáis de L0phtcrack, @stake, etc.”) ha preparado una lista de aplicaciones web inseguras con las que se pueden practicar técnicas de análisis de seguridad web sin miedo a romper nada o a que te metan en la cárcel (o peor, te quiten el Internet).
En fin, como ya he hecho publicidad y he puesto el enlace, voy a fusilar literalmente la lista aquí, para tenerla más a mano. Eso sí, para ver la lista actualizada, id a su artículo.
- The BodgeIt Store (Java): (download)
- The ButterFly Security Project (PHP): (download)
- Damn Vulnerable Web Application - DVWA (PHP): (download)
- OWASP Hackademic Challenges Project (PHP): (download)
- Google Gruyere (Python): (download)
- Hacme Bank (.NET): (download)
- Hacme Books (Java): (download)
- Hacme Casino (Ruby on Rails): (download)
- Hacme Shipping (ColdFusion): (download)
- Hacme Travel (C++): (download)
- OWASP Insecure Web App Project (Java): (download -orphaned)
- Mutillidae (PHP): (download)
- OWASP .NET Goat (C#): (download)
- Peruggia (PHP): (download)
- Puzzlemall (Java): (download) (docs)
- Stanford Securibench (Java) & Micro: (download)
- OWASP Vicnum Project (Perl & PHP): (download)
- WackoPicko (PHP): (download) (whitepaper)
- OWASP WebGoat (Java): (download) (guide)
- OWASP ZAP WAVE - Web Application Vulnerability Examples (Java):
- Wavsep - Web Application Vulnerability Scanner Evaluation Project (Java): (download) (docs)
Virtual Machines (VMs) or ISO images:
- BadStore (ISO): (download - registration required)
- OWASP BWA - Broken Web Applications Project (VMware - list):(download)
- Exploit.co.il Vuln Web App (VMware): (download)
- Hackxor (VMware): (download) (hints&tips)
- LAMPSecurity (VMware): (download) (doc)
- Metasploitable (VMware): (download - torrent) (doc)
- Moth (VMware): (download)
- Samurai WTF (ISO – list): (download)
- UltimateLAMP (VMware - list): (download)
- Web Security Dojo (VMware, VirtualBox - list): (download)
Online/Live:
- Acunetix:
- http://testasp.vulnweb.com (Forum – ASP)
- http://testaspnet.vulnweb.com (Blog – .NET)
- http://testphp.vulnweb.com (Art shopping – PHP)
- Cenzic CrackMeBank: http://crackme.cenzic.com
- Google Gruyere (Python): http://google-gruyere.appspot.com/start
- HackThisSite (HTS – Basic & Realistic (web) Missions): http://www.hackthissite.org
- HP/SpiDynamics Free Bank Online: http://zero.webappsecurity.com (admin/admin)
- IBM/Watchfire AltoroMutual: http://demo.testfire.net (jsmith/Demo1234)
- NTOSpider Web Scanner Test Site: http://www.webscantest.com (testuser/testpass)
- OWASP Hackademic Challenges Project – Live (PHP – Joomla): http://hackademic1.teilar.gr
Recordad que las aplicaciones web son una de las primeras líneas de defensa y que, por mucho WAF que pongas, suponen un riesgo de seguridad al que dedicarle mucho mimo. Mientras más sepas sobre seguridad web, mejor.
Sobre este tema, os recomiendo el último libro de M. Zalewski (lcamtuf): ‘The Tangled Web: A Guide to Securing Modern Web Applications’, del que podéis leer el tercer capítulo de gratis.
, sobre todo cuando ni siquiera se trata de los mismos entornos o versiones…...