Awesome Vulnerable

Une liste organisée d'APPLICATIONS et de SYSTÈMES VULNÉRABLES pouvant être utilisés comme LABORATOIRE DE PRATIQUE POUR LES TESTS D'INTRUSION. Cette liste vise à aider les débutants ainsi que les professionnels à tester et améliorer leurs compétences en pénétration.

Contenu

• Applications Web Vulnérables
• Sites par les éditeurs de logiciels de test de sécurité
• Sites pour télécharger d'anciennes versions de divers logiciels
• Sites pour améliorer vos compétences en hacking
• Laboratoires
• Applications Mobiles

Applications Web Vulnérables

• BadStore - Badstore.net est dédié à vous aider à comprendre comment les hackers exploitent les failles des applications web, et à vous montrer comment réduire votre exposition. Notre logiciel de démonstration Badstore est conçu pour vous montrer des techniques de piratage courantes.
• BodgeIt Store - Le BodgeIt Store est une application web vulnérable actuellement destinée aux personnes novices en test d'intrusion.
• Bug Bounty Hunter - BugBountyHunter est une plateforme de formation créée par le chasseur de bugs zseano conçue pour vous aider à découvrir les vulnérabilités des applications web et à débuter.
• Butterfly Security Project - Le projet ButterFly est un environnement éducatif destiné à donner un aperçu des vulnérabilités courantes des applications web et PHP. L'environnement inclut également des exemples montrant comment ces vulnérabilités sont corrigées.
• bWAPP - bee-box est une VM Linux personnalisée avec bWAPP préinstallé.
• Vulert - Vulert sécurise les logiciels en détectant les vulnérabilités dans les dépendances open source—sans accéder à votre code. Il supporte Js, PHP, Java, Python, et plus encore.
• CloudGoat - CloudGoat est l'outil de déploiement AWS "Vulnerable by Design" de Rhino Security Labs.
• Commix - Une collection de pages web vulnérables aux failles d'injection de commandes.
• CryptOMG - CryptOMG est un environnement de test de type CTF configurable mettant en avant les failles courantes des implémentations cryptographiques.
• CTFchallenge - CTFchallenge est une collection de 12 applications web vulnérables, chacune avec sa propre infrastructure réaliste répartie sur plusieurs sous-domaines contenant des vulnérabilités basées sur des rapports de bugs, des expériences réelles ou des failles listées dans le Top 10 OWASP.
• Damn Vulnerable Cloud Application - Damn Vulnerable Cloud Application
• Damn Vulnerable Node Application(DVNA) - Application NodeJS très vulnérable
• Damn Vulnerable Web App (DVWA) - Application Web très vulnérable
• Damn Vulnerable Web Services (DVWS) -

Damn Vulnerable Web Services est une application web peu sécurisée avec plusieurs composants de services web vulnérables permettant d'apprendre les failles réelles des services web.

• Firing Range - Un environnement de test créé par Google pour les scanners de sécurité automatisés d'applications web.
• Foundstone Hackme Bank - Outils gratuits de McAfee pour améliorer votre protection de sécurité.
• Foundstone Hackme Books - Outils gratuits de McAfee pour améliorer votre protection de sécurité.
• Foundstone Hackme Casino- Outils gratuits de McAfee pour améliorer votre protection de sécurité.
• Foundstone Hackme Shipping - Outils gratuits de McAfee pour améliorer votre protection de sécurité.
• Foundstone Hackme Travel - Outils gratuits de McAfee pour améliorer votre protection de sécurité.
• GameOver - Le projet GameOver a été lancé dans le but de former et d'éduquer les débutants aux bases de la sécurité web, de les sensibiliser aux attaques courantes et de leur expliquer comment elles fonctionnent.
• hackxor - Hackxor est un jeu de piratage d'application web réaliste, conçu pour aider les joueurs de tous niveaux à développer leurs compétences. Toutes les missions sont basées sur de vraies failles que j'ai personnellement trouvées lors de pentests, de bug bounty et de recherches.
• Hackazon - Une application web moderne et vulnérable
• LAMPSecurity - La formation LAMPSecurity est conçue comme une série d'images de machines virtuelles vulnérables accompagnées de documentation complémentaire destinée à enseigner la sécurité linux, apache, php, mysql.
• OWASP Mantra - Framework de sécurité gratuit et open source basé sur navigateur, une collection d'outils intégrés dans un navigateur web, utile pour les pentesteurs, développeurs web, professionnels de la sécurité, etc.
• NOWASP / Mutillidae 2 - OWASP Mutillidae II est une application web délibérément vulnérable, gratuite et open source, servant de cible aux passionnés de sécurité web.
• OSS – OopsSec Store - Application e-commerce open-source et volontairement vulnérable, développée avec Next.js et React. Fournit une plateforme CTF réaliste pour apprendre le test de sécurité des applications web. Installation rapide via npx create-oss-store.
• OWASP BWA - Collection d'applications web vulnérables distribuée sur une machine virtuelle au format VMware, compatible avec VMware Player et VMware vSphere Hypervisor (ESXi) gratuits, ainsi que leurs produits commerciaux plus anciens.
• OWASP Hackademic - Ce projet aide à tester vos connaissances en sécurité des applications web. Il permet d'attaquer des applications web dans un environnement réaliste, contrôlable et sécurisé.
• OWASP SiteGenerator - OWASP SiteGenerator permet de créer des sites dynamiques basés sur des fichiers XML et des vulnérabilités prédéfinies (simples ou complexes) couvrant les langages .Net et les architectures de développement web (navigation : Html, Javascript, Flash, Java, etc).
• OWASP Bricks - Plateforme d'apprentissage de la sécurité des applications web basée sur PHP et MySQL
• OWASP Security Shepherd - Plateforme de formation à la sécurité des applications web et mobiles. Conçue pour renforcer la sensibilisation à la sécurité auprès de profils variés.
• PentesterLab - Nous facilitons l'apprentissage du hacking web !
• SecuriBench - Stanford SecuriBench est un ensemble de programmes open source réels servant de terrain de test pour les outils de sécurité statiques et dynamiques. La version .91a cible les applications web Java.
• SentinelTestbed - Site web vulnérable. Utilisé pour tester les fonctionnalités de sentinel.
• SocketToMe - Combine chat, jeu de devinettes de nombres et quelques autres fonctionnalités cachées.
• sqli-labs - Laboratoires SQLI pour tester les injections SQL basées sur les erreurs, booléennes aveugles, basées sur le temps.
• MCIR (Magical Code Injection Rainbow) - Le Magical Code Injection Rainbow ! MCIR est un framework pour créer des environnements de test de vulnérabilités configurables. Il propose également une collection de bancs d'essai configurables.
• Sqlilabs - Laboratoire pour apprendre les techniques d'injection SQL
• VulnApp - Application ASP.net implémentant les applications les plus courantes rencontrées lors de nos tests d'intrusion
• VulnLab - Laboratoire d'application web vulnérable utilisant Docker
• PuzzleMall - Application web vulnérable pour pratiquer les puzzles de session
• WackoPicko - WackoPicko est une application web vulnérable utilisée pour tester les scanners de vulnérabilités d'applications web
• WebGoat.NET - Cette application web est une plateforme d'apprentissage sur les failles de sécurité courantes. Elle contient des failles génériques applicables à la plupart des applications web.
• OWASP WebGoat8 - OWASP Webgoat 8 est une plateforme d'apprentissage sur les failles de sécurité web courantes. Elle contient des failles génériques, est écrite en Java et activement maintenue.
• OWASP WrongSecrets - OWASP WrongSecrets est une application vulnérable qui montre comment ne pas stocker les secrets, et aide à améliorer vos compétences de chasse aux secrets.
• WebSecurity Dojo - Environnement de formation open-source et autonome pour le test d'intrusion sur la sécurité des applications web. Outils + Cibles = Dojo
• XVWA - XVWA est une application web mal codée en PHP/MySQL qui aide les passionnés à apprendre la sécurité applicative.
• Zap WAVE - Outil intégré de test d'intrusion facile à utiliser pour trouver les vulnérabilités dans les applications web
• Web-Security Academy - Plateforme gratuite pour apprendre et tester vos compétences en sécurité des applications web avec des laboratoires et des supports d'apprentissage proposés par Portswigger
• OWASP Juice Shop - Plateforme open source pour tester les compétences en sécurité des applications web. L'application contient de nombreux défis de hacking de niveaux de difficulté variés.
• tegal1337/0l4bs - Laboratoires XSS pour les passionnés de sécurité des applications web
• tegal1337/br0w - Hackez le Br0w. Jouez avec votre navigateur et apprenez plus, hackez en vous amusant !
• Pentest-Ground - Terrain de jeu de pentest avec plusieurs applications web vulnérables.
• Unguard - Application de démonstration cloud-native vulnérable pour Kubernetes. Inclut des services Java, .NET, Node.js, Go, PHP vulnérables, bases MariaDB et Redis, proxy Envoy et générateur de charge.
• Duck Store

Sites pour télécharger d'anciennes versions de divers logiciels

• Exploit-DB - La base de données Exploit est maintenue par Offensive Security, entreprise de formation en sécurité informatique proposant des certifications et des services de pentest haut de gamme
• Old Apps - Offre aux utilisateurs une large sélection de versions actuelles et précédentes de logiciels familiers gratuitement
• Old Version - Choisissez un logiciel... pour revenir à la version que vous préférez !
• VirtualHacking Repo - Laboratoire de Hacking Virtuel
• All Version - PortableApps est la solution logicielle portable la plus populaire au monde, vous permettant d’emporter vos logiciels favoris partout avec vous

Sites des éditeurs de logiciels de test de sécurité

• Acunetix acuforum - Un forum délibérément vulnérable aux injections SQL, traversée de répertoires, et autres attaques web
• Acunetix acublog - Un site de test pour Acunetix. Il est vulnérable aux injections SQL, XSS (Cross-site Scripting), et plus encore
• Acunetix acuart - Ceci est un exemple d’application PHP intentionnellement vulnérable aux attaques web. Il est destiné à tester Acunetix
• Acunetix SecurityTweets - Site web de test HTML5 vulnérable pour Acunetix Web Vulnerability Scanner.
• Cenzic crackmebank - Ceci est un site de test et de démonstration
• Fortify Zero Bank - Le site Web Free Online Bank est publié par Micro Focus Fortify dans le but de démontrer la fonctionnalité et l’efficacité des produits WebInspect de Micro Focus Fortify pour détecter et signaler les vulnérabilités des applications Web.
• Fortify IWA.NET (Insecure Web Application) Pharmacy Direct - un exemple d’application Web Microsoft.NET Core à utiliser dans des scénarios DevSecOps et des démonstrations. Il inclut des exemples de code défectueux et non sécurisé - qui peuvent être trouvés à l’aide d’outils de test de sécurité applicative statique et dynamique comme ceux proposés par OpenText.
• Fortify IWA.JAVA (Insecure Web Application) Pharmacy Direct - un exemple d’application Web Java/Spring à utiliser dans des scénarios DevSecOps et des démonstrations. Il inclut des exemples de code défectueux et non sécurisé - qui peuvent être trouvés à l’aide d’outils de test de sécurité applicative statique et dynamique comme ceux proposés par OpenText.
• IBM altoromutual - Le site web AltoroJ est publié par IBM Corporation dans le seul but de démontrer l’efficacité des produits IBM pour détecter les vulnérabilités des applications web et les défauts de sites web
• Mavituna testsparker - Ceci est un site de test et de démonstration pour Netsparker
• Mavituna testsparker - Ceci est un site de test et de démonstration pour Netsparker, le scanner de sécurité des applications Web de nouvelle génération. Lancez Netsparker pour scanner ce site et détecter les vulnérabilités
• Mavituna testsparker - Ceci est un site de test et de démonstration pour Netsparker
• NTOSpider Test Site - Ce site est conçu pour tester les scanners automatisés d’applications Web tels qu’AppSpider

Sites pour améliorer vos compétences en hacking

• Blue Team Labs Online - Cyber Range - Plateforme gamifiée permettant aux défenseurs d’exercer leurs compétences en enquêtes de sécurité et défis couvrant : réponse aux incidents, investigations numériques, opérations de sécurité, rétro-ingénierie et threat hunting.
• Embedded Security CTF - Dispersés dans le monde, des entrepôts verrouillés renferment des mallettes remplies d’obligations Cy Yombinator valant potentiellement des milliards. Vous aiderez à dérober ces mallettes
• EnigmaGroup - Enigma Group fournit à ses membres une ressource légale et sûre pour développer leurs compétences en pentest sur divers défis proposés par ce site
• Escape - Le code génère du HTML de façon non sécurisée. Prouvez-le en appelant alert(1)
• Google Gruyere - Ce codelab montre comment les vulnérabilités des applications web peuvent être exploitées et comment s’en défendre
• Forensic Practical - Améliorez vos compétences en forensic et analysez des malwares trouvés sur des honeypots en les installant sur des systèmes propres pour observer leur comportement
• Gh0st Lab - L’idée originelle de ce réseau était de créer un réseau de recherche en sécurité où des personnes partageant les mêmes idées peuvent collaborer pour acquérir des connaissances
• Hack The Box - Une plateforme en ligne permettant de tester vos compétences en pentest et d’échanger des idées et des méthodes avec des milliers de personnes du domaine de la sécurité
• TryHackMe - Formation en cybersécurité facilitée. Une expérience confortable d’apprentissage via des cours préconçus incluant des VM hébergées dans le cloud prêtes à l’emploi
• Hack This Site - Hack This Site est un terrain d’entraînement gratuit, sûr et légal pour les hackers souhaitant tester et développer leurs compétences
• HackThis - Defend the Web est une plateforme interactive de cybersécurité
• HackQuest - Hébergement web anonyme, serveurs virtuels, email sécurisé
• Hack.me - Hacking-Lab est un service proposé par Security Competence GmbH, filiale suisse de Compass Security AG.

Compass Security est une entreprise européenne renommée spécialisée en pentest, réponse aux incidents, forensic numérique et formations en sécurité

• Hacking-Lab - Hack.me est un projet communautaire GRATUIT propulsé par eLearnSecurity. La communauté peut créer, héberger et partager du code d’applications web vulnérables à des fins éducatives et de recherche
• Hacker Test - HackerTest.net est votre propre simulation de hacker en ligne. Cette imitation réaliste vous aidera à approfondir vos connaissances en sécurité JavaScript, PHP, HTML et réflexion graphique
• Halls Of Valhalla - Valhalla est un lieu de partage des connaissances et idées. Les utilisateurs peuvent soumettre du code, ainsi que des articles et actualités en sciences, technologie et ingénierie
• Hax.Tor - HaX.ToR.Hu est un site de défis mettant l’accent sur l’enseignement des problématiques de sécurité de façon ludique
• Metasploit Unleashed - Le cours Metasploit Unleashed (MSFU) est proposé gratuitement par Offensive Security afin de sensibiliser pour les enfants défavorisés en Afrique de l’Est
• OverTheWire - Les wargames proposés par la communauté OverTheWire peuvent vous aider à apprendre et à pratiquer les concepts de sécurité sous forme de jeux amusants
• PentestIT - Les laboratoires de test de pénétration "Test lab" simulent une infrastructure informatique d'entreprises réelles et sont créés pour des tests de pénétration légaux et pour améliorer les compétences en pentesting
• CSC Play on Demand - Le but de ce challenge est d'identifier les moyens par lesquels un employé peut accidentellement ou malicieusement divulguer des secrets organisationnels via des fichiers apparemment innocents
• Root Me - La façon rapide, facile et abordable d'entraîner vos compétences en hacking
• Security Treasure Hunt - Un nouveau challenge d'analyse de vulnérabilité Web basé sur la capture de paquets est disponible jusqu'au 30 avril 2013, sponsorisé par Cyber Aces
• Smash The Stack - Réseau de wargaming
• SQLZoo - Exploiter une attaque d'injection SQL implique de résoudre une énigme qui est un croisement entre le jeu du pendu et 20 questions. Il faut un peu de compréhension du SQL et beaucoup de ruse
• TheBlackSheep and Erik - Vous propose des centaines de défis dans les domaines de la programmation, JavaScript, PHP, Java, stéganographie, cryptographie et autres
• ThisIsLegal - Un site de wargames hacker avec beaucoup plus comme des forums et des tutoriels
• Try2Hack - Ce site propose plusieurs défis orientés sécurité pour votre divertissement. Il est en fait l'un des plus anciens sites de challenges encore actifs
• VulnHub - Une collection d'hôtes vulnérables et de défis associés pour acquérir une expérience pratique en cybersécurité.
• XSS: Can You XSS This? - Utilisez HTMLSanitizer pour protéger vos applications Web
• XSS Game - Apprenez à trouver et exploiter des bugs XSS
• XSS: ProgPHP - Enregistrement de domaine nouvelle génération. Progphp.com arrive bientôt !
• Pwnable.tw - Un ensemble plus récent de défis pwnable de haute qualité)
• Pwnable.kr - L'un des ensembles de défis de wargaming les plus populaires récemment
• PicoCTF - Conçu pour les lycéens, l'événement est généralement renouvelé chaque année, mais reste en ligne et propose une excellente progression de difficulté
• CTF Learn - Une nouvelle plateforme d'apprentissage basée sur les CTF avec des défis proposés par les utilisateurs
• Reversing.kr - Ce site teste votre capacité en cracking et ingénierie inverse de code
• w3challs - Nos défis couvrent plusieurs domaines du hacking, principalement orientés offensifs. Une multitude de technologies et d'architectures vous attendent. Montrez-nous vos compétences et ouvrez quelques shells (ou calcs)!
• RingZer0 Team - L'équipe RingZer0 propose un CTF en ligne avec des tonnes de défis conçus pour tester et améliorer vos compétences en hacking à travers des challenges
• HellBound Hackers - L'approche pratique de la sécurité informatique et des défis de sécurité simulés
• Komodo Consulting - Challenge de sécurité applicative conçu pour tester vos compétences de hacking d'application
• Maxkersten Binary Analysis - Un cours pratique d'analyse binaire
• PwnAdventure - Pwnie Island est un MMORPG véritablement open-world à la première personne, en édition limitée, situé sur une île magnifique où tout peut arriver. Ce jeu est volontairement vulnérable à toutes sortes de hacks absurdes ! Voler, argent illimité et plus encore sont à portée de modification du client ou de proxy réseau
• INE - Formations et certifications IT pratiques en ligne

Labs

• CTFd - Les CTF comme vous en avez besoin
• Mellivora - Mellivora est un moteur de CTF écrit en PHP
• Metasploitable2 - Metasploitable est une machine virtuelle Linux volontairement vulnérable
• NightShade - Un framework simple de capture the flag.
• MCIR - The Magical Code Injection Rainbow ! MCIR est un framework pour construire des bancs d'essai de vulnérabilité configurables. MCIR est aussi une collection de bancs d'essai configurables.
• Vagrant - Environnements de développement simplifiés
• NETinVM - Un outil pour enseigner et apprendre sur les systèmes, réseaux et la sécurité
• SmartOS - SmartOS est un hyperviseur SVR4 libre et open-source basé sur UNIX qui combine la technologie OpenSolaris avec la virtualisation KVM de Linux.
• SmartDataCenter - Joyent Triton DataCenter : une plateforme de gestion cloud avec un support de premier ordre pour les conteneurs.
• vSphere Hypervisor - vSphere Hypervisor est un hyperviseur bare-metal qui virtualise les serveurs ; permettant de consolider vos applications tout en économisant du temps et de l'argent dans la gestion de votre infrastructure IT.
• GNS3 - Construisez, concevez et testez votre réseau dans un environnement virtuel sans risque et accédez à la plus grande communauté réseau pour vous aider.
• OCCP - Une plateforme de virtualisation gratuite, configurable et open-source pour les enseignants en cybersécurité et les coordinateurs d'événements de challenge.
• XAMPP - XAMPP est une distribution Apache entièrement gratuite et facile à installer, contenant MariaDB, PHP et Perl. Le paquet open source XAMPP a été conçu pour être extrêmement facile à installer et à utiliser.
• Kubernetes Goat - Kubernetes Goat est un cluster intentionnellement vulnérable conçu pour apprendre et pratiquer la sécurité Kubernetes.
• Offensive Security - Entraînez-vous à vos compétences en pentesting dans un environnement de laboratoire autonome et privé — avec l’ajout de PG Play et PG Practice aux laboratoires de formation Proving Grounds d’Offensive Security.
• Game of Hacks - Certes, ce n’est pas vraiment une application web vulnérable, mais c’est un autre moyen ludique d’apprendre à repérer les vulnérabilités de sécurité applicative, alors nous avons décidé de l’inclure.
• Google Gruyere - Ce site vulnérable « cheesy » est plein de failles et destiné à ceux qui commencent à apprendre la sécurité des applications.
• Hellbound Hackers - Hellbound Hackers, l’approche pratique de la sécurité informatique, propose une large gamme de challenges visant à enseigner comment identifier les exploits et suggérer le code pour les corriger.
• Peruggia - Peruggia est un environnement sécurisé pour les professionnels de la sécurité et les développeurs afin d’apprendre et tester les attaques courantes sur les applications web.
• oliverwiegers/pentest_lab - Laboratoire de pentest local utilisant Docker Compose.
• Hacksplaining - Cours interactifs sur plusieurs vulnérabilités web bien connues.
• LabEx - Plateforme en ligne pour améliorer vos compétences Linux, DevOps et cybersécurité via des laboratoires pratiques.
• gRPC Goat - gRPC Goat est un laboratoire « vulnérable par conception » créé pour offrir un terrain de jeu interactif et pratique pour apprendre et pratiquer la sécurité gRPC.
• SocengLab - SocEng Lab est une plateforme open-source de simulation adaptative d’ingénierie sociale qui apporte une rigueur académique à la formation à la sensibilisation à la sécurité.

Applications mobiles

• Allsafe - Allsafe est une application intentionnellement vulnérable contenant diverses vulnérabilités.
• Damn Vulnerable Android App (DVAA) - Damn Vulnerable Android App (DVAA) est une application Android qui contient des vulnérabilités intentionnelles.
• Damn Vulnerable FirefoxOS Application (DVFA) - Damn Vulnerable FirefoxOS Application — une application délibérément vulnérable à des fins de démonstration.
• Damn Vulnerable iOS App (DVIA) - Damn Vulnerable iOS App (DVIA) est une application iOS volontairement vulnérable.
• ExploitMe Mobile Android Labs - L’application Android vulnérable pour vos exercices de hacking.
• ExploitMe Mobile iPhone Labs - Une application iPhone défectueuse pour vos exercices de hacking.
• Hacme Bank Android - Outils gratuits de McAfee pour améliorer votre protection de sécurité.
• InsecureBank - Cyber Tales par Paladion.
• NcN Wargame - No cON Name 2012 Challenges.
• OWASP iGoat - Le projet OWASP iGoat est un outil d’apprentissage pour les développeurs iOS afin d’étudier les faiblesses de sécurité sur iOS — en cassant et en réparant.
• OWASP Goatdroid - OWASP GoatDroid est un environnement de formation complet et autonome pour éduquer les développeurs et testeurs sur la sécurité Android.
• OWASP MSTG Hacking Playground - Un ensemble d’applications mobiles vulnérables dont vous pouvez exploiter les failles à l’aide des techniques de l’OWASP MSTG.
• OWASP MSTG Crackmes - Un ensemble d’applications mobiles pour améliorer vos compétences en rétro-ingénierie basées sur OWASP MSTG.

API

• OWASP crAPI - crAPI signifie « Completely Ridiculous API ». Il simule une application web basée sur des microservices et des API destinée aux propriétaires de véhicules. crAPI se concentre sur les vulnérabilités courantes des applications modernes basées sur les API, y compris celles de l’OWASP Top 10 des APIs.
• VAmPI - VAmPI est une API vulnérable réalisée avec Flask et inclut des vulnérabilités issues du top 10 OWASP pour les APIs.
• capital - Une application API délibérément vulnérable basée sur le top 10 OWASP des vulnérabilités API. Utilisez c{api}tal pour apprendre, vous entraîner et exploiter les vulnérabilités de sécurité des API dans votre propre CTF de sécurité API.
• dvws-node - Damn Vulnerable Web Services est une application vulnérable avec un service web et une API permettant d’apprendre les vulnérabilités liées aux webservices/APIs.
• VulnerableLightApp - API vulnérable à des fins éducatives.

Les contributions sont toujours les bienvenues

--- Tranlated By Open Ai Tx | Last indexed: 2026-01-12 ---