8 aplicativos da Web vulneráveis ​​​​para praticar hackers legalmente

Não há melhor maneira de aumentar a confiança nas habilidades de hackers éticos do que testá-las.

Pode ser um desafio para hackers éticos e testadores de penetração testar suas capacidades legalmente, portanto, ter sites projetados para serem inseguros e fornecer um ambiente seguro para testar habilidades de hackers é uma maneira fantástica de se manter desafiado.

Sites e aplicativos da web projetados para serem inseguros e fornecerem um ambiente de hacking seguro são os motivos ideais para o aprendizado. Novos hackers podem aprender como encontrar vulnerabilidades com eles, e profissionais de segurança e recompensa de bug os caçadores podem aumentar seus conhecimentos e encontrar algumas outras novas vulnerabilidades.

Uso de aplicativos da Web vulneráveis

Aproveitar esses sites e aplicativos da Web vulneráveis ​​criados intencionalmente para testes oferece um ambiente seguro para praticar seus testes legalmente enquanto está do lado certo da lei. Dessa forma, você pode hackear sem entrar em território perigoso que pode levar à sua prisão.

Esses aplicativos são projetados para ajudar os entusiastas da segurança a aprender e aprimorar suas habilidades de segurança da informação e testes de penetração.

Neste artigo, listei vários tipos de aplicativos que foram projetados propositalmente como inseguros, geralmente conhecidos como “Damn Vulnerable”.

O aplicativo da Web Buggy, geralmente conhecido como BWAPP, é uma ferramenta gratuita e de código aberto. É um aplicativo PHP que usa um banco de dados MySQL como back-end. Este Bwapp tem mais de 100 bugs para você trabalhar, se você está se preparando para uma tarefa ou apenas deseja manter suas habilidades de hackers éticos no padrão. Isso cobre todas as principais (e mais prevalentes) falhas de segurança.

Mais de 100 vulnerabilidades e defeitos de aplicativos online estão incluídos nesta ferramenta, que foi derivada do OWASP Top 10 Project. A seguir estão algumas das falhas:

  • Cross-site scripting (XSS) e falsificação de solicitação entre sites (CSRF)
  • Ataques DoS (denial-of-service)
  • Ataques man-in-the-middle
  • Falsificação de solicitação do lado do servidor (SSRF)
  • SQL, comando do sistema operacional, injeções de HTML, PHP e SMTP, etc.
  Como deixar um tópico de mensagem de grupo no LinkedIn

Este aplicativo da web irá ajudá-lo a realizar hacking ético legal e testes de caneta.

Você pode facilmente baixar este bwapp por clicando aqui.

Maldito aplicativo da web vulnerável

Maldito aplicativo da Web vulnerável, geralmente conhecido como DVWA, é desenvolvido em PHP e MySQL. É intencionalmente deixado vulnerável para que profissionais de segurança e hackers éticos possam testar suas habilidades sem comprometer legalmente o sistema de ninguém. Para ser executado, o DVWA requer a instalação de um servidor web, PHP e MySQL. Se você ainda não tiver um servidor web configurado, a abordagem mais rápida para instalar o DVWA é baixar e instalar o ‘XAMPP’. XAMPP está disponível para download aqui.

Este maldito aplicativo da web vulnerável fornece algumas vulnerabilidades para testar.

  • Força bruta
  • Execução do Comando
  • CSRF e inclusão de arquivos
  • XSS e injeção de SQL
  • Upload de arquivo inseguro

A principal vantagem do DVWA é que podemos definir os níveis de segurança para praticar testes em cada vulnerabilidade. Cada nível de segurança precisa de um conjunto único de talentos. Os pesquisadores de segurança podem examinar o que está acontecendo no back-end graças à decisão dos desenvolvedores de publicar o código-fonte. Isso é excelente para que os pesquisadores aprendam sobre esses problemas e ajudem outros a aprender sobre eles.

Google Gruyère

Não costumamos ver as palavras “cheese” e “hacking” usadas juntas, mas este site está cheio de buracos, assim como um delicioso queijo. Gruyère é uma excelente opção para iniciantes que desejam aprender como localizar e explorar vulnerabilidades e como combatê-las. Ele também usa codificação “cheesy” e todo o design é baseado em queijo.

fonte da imagem: Google Gruyère

Para facilitar as coisas, é escrito em Python e categorizado por tipos de vulnerabilidade. Eles fornecerão uma breve descrição da vulnerabilidade que você localizará, explorará e identificará usando hacking de caixa preta ou caixa branca (ou uma combinação de ambas as técnicas) para cada tarefa. Alguns deles são :

  • Divulgação de informação
  • injeção SQL
  • Falsificação de solicitação entre sites
  • Ataques de negação de serviço
  Como mudar sua localização no Pokémon Go

Embora seja necessário algum conhecimento prévio, esta é a melhor opção para iniciantes.

WebGoat

Esta lista inclui outro item OWASP e um dos mais populares. WebGoat é um programa inseguro que pode ser usado para aprender sobre problemas comuns de aplicativos do lado do servidor. Destina-se a ajudar as pessoas a aprender sobre segurança de aplicativos e praticar técnicas de pentesting.

Cada lição permite que você aprenda sobre uma falha de segurança específica e depois a ataque no aplicativo.

Algumas das vulnerabilidades apresentadas no Webgoat são:

  • Estouro de buffer
  • Tratamento inadequado de erros
  • Falhas de injeção
  • Comunicação e configuração inseguras
  • Falhas de gerenciamento de sessão
  • Adulteração de parâmetros

Metasploitable 2

Entre os pesquisadores de segurança, Metasploitable 2 é o aplicativo online mais comumente explorado. Ferramentas de ponta como Metasploit e Nmap podem ser usadas para testar este aplicativo por entusiastas de segurança.

O principal objetivo deste aplicativo vulnerável é o teste de rede. Ele foi modelado após o proeminente programa Metasploit, que os pesquisadores de segurança usam para descobrir falhas de segurança. Você pode até encontrar um shell para este programa. WebDAV, phpMyAdmine DVWA são todos recursos integrados neste aplicativo.

Você pode não conseguir encontrar a GUI do aplicativo, mas ainda pode usar várias ferramentas por meio do terminal ou da linha de comando para explorá-lo. Você pode ver suas portas, serviços e versão, entre outras coisas. Isso o ajudará a avaliar sua capacidade de aprender a ferramenta Metasploit.

Maldito aplicativo iOS vulnerável

DVIA é um programa iOS que permite que entusiastas, especialistas e desenvolvedores de segurança móvel pratiquem testes de penetração. Foi relançado recentemente e agora está disponível gratuitamente no GitHub.

Seguindo os 10 principais riscos móveis do OWASP, o DVIA contém vulnerabilidades típicas de aplicativos iOS. Ele é desenvolvido em Swift e todas as vulnerabilidades foram testadas até o iOS 11. Você precisará do Xcode para usá-lo.

  Corrigir os bipes do Dell 5 quando ligado

Alguns dos recursos disponíveis no DVIA são:

  • Detecção de jailbreak
  • Phishing
  • Criptografia quebrada
  • Manipulação de tempo de execução
  • Aplicação de patches
  • Patch binário

OWASP Mutillidae II

Mutilidae II é um programa de código aberto e gratuito desenvolvido pela OWASP. Muitos entusiastas da segurança o utilizaram, pois ele fornece um ambiente de hackers online fácil de usar. Ele apresenta uma variedade de vulnerabilidades, bem como recomendações para ajudar o usuário a explorá-las. Este aplicativo da web é para você aprimorar suas habilidades se o teste de penetração ou hacking for seu passatempo.

Ele contém uma variedade de vulnerabilidades para testar, incluindo click-jacking, bypass de autenticação e muito mais. Sua seção de vulnerabilidades também inclui subcategorias que fornecem mais alternativas.

Você precisará instalar XAMPP em seu sistema. No entanto, Mutillidae inclui XAMPP. Até mesmo alternar entre os modos seguro e inseguro é possível. Mutilidae é um ambiente de laboratório completo que inclui tudo o que você precisa.

Dojo de segurança na web

WSD é uma máquina virtual com várias ferramentas como Burp Suite e ratproxy e máquinas de destino (como WebGoat). É um ambiente de treinamento de código aberto baseado no sistema operacional Ubuntu 12.04. Para alguns objetivos, também contém materiais de treinamento e guias do usuário.

Você não precisa executar nenhuma outra ferramenta para usá-lo; tudo que você precisa é esta VM. Você precisará instalar e executar o VirtualBox 5 (ou posterior) inicialmente ou pode usar o VMware. Em seguida, importe o arquivo ova para o VirtualBox/VMware e pronto. Ele terá a mesma sensação de qualquer outro sistema operacional Ubuntu.

Essa VM é ideal para autoestudo e aprendizado por iniciantes, profissionais e professores que desejam ensinar sobre vulnerabilidades.

Conclusão 😎

Você deve ter experiência prática com aplicativos inseguros antes de entrar na esfera profissional da segurança da informação. Ajuda no desenvolvimento de suas habilidades.

Também o ajuda a identificar e praticar suas áreas fracas. Ao praticar o hacking ético em aplicativos criados especificamente, você entenderá melhor suas habilidades de hacking e sua posição no domínio da segurança. É benéfico compartilhar informações. Você pode usar esses aplicativos da Web para mostrar a outras pessoas como identificar falhas típicas de aplicativos da Web.