Тестирование на проникновение — один из важных навыков в области сетевой безопасности. Я считаю, что многие друзья не знают, с чего начать изучение тестирования на проникновение. Ниже приведены 10 стрельбищ, рекомендуемых для новичков. Эти стрельбища могут помочь новичкам практиковаться и совершенствоваться. навыки тестирования на проникновение!

1、DVWA（Damn Vulnerable Web Application）

DVWA — очень популярное веб-приложение с открытым исходным кодом. Безопасность тир.,Это тир, который обязательно нужно посетить новичкам в области безопасности.,использоватьPHP+MySQL Написано с учетом множества распространенных уязвимостей безопасности. Например, взлом методом грубой силы, внедрение командной строки, подделка межсайтовых запросов и т. д., включая OWASP. Все уязвимости атак в ТОП10. Он обеспечивает пошаговую среду обучения тестированию на проникновение для низкого, среднего и высокого уровней, которая очень подходит новичкам для постепенного улучшения своих навыков.

Ссылка на проект:

http://www.dvwa.co.uk 

Исходный код проекта:

https://github.com/digininja/DVWA

Онлайн-тир:

https://dvwa.bachang.org/

2、Webgoat

WebGoatэтоOWASPОрганизационно развитыйWebприложение Уязвимость экспериментальная платформа безопасности для демонстрации и обучения типичной Уязвимости в веб-приложениях безопасности。

Онлайн-тир:

https://webgoat-server.bachang.org/WebGoat/login

3、Try Hack Me

Try Hack Meэто онлайн Тестирование на Платформа проникновения предоставляет богатый тир и практическую среду, чтобы помочь пользователям изучить сетевую безопасность Навык、продвигать Тестирование на способность проникновения. Моделируя сценарии хакерских атак, пользователи могут практиковать различные методы взлома и методы использования в среде безопасности, помогая пользователям изучать сетевую безопасность. безопасность Навык并продвигать Тестирование на Возможности проникновения, подходящие для пользователей разного уровня подготовки.

Официальный сайт:

https://tryhackme.com/

4、Pikachu

Pikachu — это учебная платформа, объединяющая различные уязвимости веб-безопасности. Она похожа на стрельбище DVWA, имеет общие уязвимости веб-безопасности и имеет китайский интерфейс. Она подходит для новичков, которые могут отработать основные уязвимости веб-безопасности.

Исходный код проекта:

https://github.com/zhuifengshaonianhanlu/pikachu

Онлайн-тир:

https://pikachu.bachang.org/

5、Vulnstack

Платформа для стрельбища с открытым исходным кодом, принадлежащая Хунри.,Имитировать среду отечественного предприятия。КрышкаCMS、лазейкиуправлять、域управлять等；кATT&CKМодель оценки красной команды как дизайнерская идея；Обеспечить всесторонний опыт наступательных и оборонительных тренировок.。Обеспечить всесторонний опыт наступательных и оборонительных тренировок.,От построения среды до использования лазейок, Интранет-коллекция, Прочный контроль и т. д.

адрес:

http://vulnstack.qiyuanxuetang.net/vuln/
http://vulnstack.qiyuanxuetang.net/

6、Vulhub

Коллекция сред уязвимостей на основе Docker и Docker-compose. Вам нужно всего лишь войти в соответствующий каталог и выполнить оператор, чтобы запустить новую среду уязвимостей, что облегчает воспроизведение уязвимостей и позволяет исследователям безопасности больше сосредоточиться на самом принципе уязвимости.

Официальный адрес сайта:

https://vulhub.org/

Адрес проекта:

https://github.com/vulhub/vulhub 

7、Upload-labs

Upload-Labsсосредоточиться Стрельбище для загрузки файлов лазейки, которое можно использовать для тестирования различных лазейок, связанных с загрузкой файлов. Новичкам подойдет специальное упражнение по загрузке файлов.

адрес：https://github.com/c0ny1/upload-labs

8、XSS-labs

Тир, посвященный уязвимостям межсайтового скриптинга (XSS). Предоставляет практическую среду для устранения множества уязвимостей XSS, включая отраженный, хранимый XSS и XSS типа DOM. Он подходит новичкам для углубленной практики и понимания XSS-уязвимостей.

адрес：https://github.com/do0dl3/xss-labs

9、SQLi-labs

Стрельба сосредоточена на уязвимостях SQL-инъекций, включая большинство типов SQL-инъекций, а упражнения по эксплуатации уязвимостей проводятся в режиме прорыва. Сложность установки аналогична DVWA и относительно проста. Он подходит новичкам для систематического изучения и практики уязвимостей SQL-инъекций.

адрес：https://sqli-labs.bachang.org/ или https://github.com/Audi-1/sqli-labs

10、Hack The Box

Онлайн-тир по безопасности зарубежных сетей. Тир разделен на несколько категорий, охватывающих области Интернета, вирусного анализа, криптографии, обратного проектирования и т. д. В каждой категории есть несколько сложных проектов, от базовых до продвинутых, подходящих для разных навыков. уровень пользователя. Существует несколько проектов испытаний, от базовых до продвинутых, что гарантирует, что пользователи с разными уровнями навыков смогут найти подходящие задачи, которые стоит попробовать.

адрес：https://www.hackthebox.com/

Наконец, я добавлю для вас еще два:

• MutillidaeЭто бесплатный и открытый исходный код Web Приложение, обеспечивающее специально разрешенную среду тестирования безопасности и предотвращения вторжений, содержащее обширную базу данных Тестирование. на такие предметы, как проникновение SQL Внедрение, межсайтовый скриптинг, кликджекинг, включение локальных файлов, удаленное выполнение кода и т. д. Ссылка на проект:http://sourceforge.net/projects/mutillidae
• Metasploitable：Известная система проникновения,Это упакованный образ виртуальной машины операционной системы.,использовать VMware формат. Можно использовать VMware 运行。Ссылка на проект:https://github.com/rapid7/metasploitable3

Каждый из этих стрельбищ имеет свои особенности и охватывает различные сценарии тестирования на проникновение, от базового до продвинутого. Новички могут выбрать подходящее стрельбище для тренировок, исходя из своих потребностей и интересов, чтобы постепенно улучшать свои возможности в тестировании на проникновение.

При проведении тестов на проникновение обязательно соблюдайте юридические и этические правила и проводите тестирование только в разрешенных законом средах, а не в незаконных целях. В то же время упражнения на стрельбище — это лишь часть обучения тестированию на проникновение. Вам также необходимо сочетать изучение теоретических знаний, анализ реальных случаев и участие в обменах сообществами безопасности, чтобы постоянно совершенствовать свои навыки и опыт.

Если вы считаете эту статью полезной, подписывайтесь, ставьте лайки, смотрите и делитесь ею в своем кругу друзей!