Awesome Vulnerable

Una lista curata di APP e SISTEMI VULNERABILI che possono essere utilizzati come LABORATORIO DI PRATICA PER IL PENETRATION TESTING. Questa lista mira ad aiutare sia i principianti che i professionisti a testare e migliorare le proprie competenze di penetration.

Indice

• Applicazioni Web Vulnerabili
• Siti dei Vendor di Software di Security Testing
• Siti per Scaricare Versioni Precedenti di Vari Software
• Siti per Migliorare le Tue Abilità di Hacking
• Laboratori
• App Mobile

Applicazioni Web Vulnerabili

• BadStore - Badstore.net è dedicato ad aiutarti a comprendere come gli hacker sfruttano le vulnerabilità delle applicazioni web e a mostrarti come ridurre la tua esposizione. Il nostro software dimostrativo Badstore è progettato per mostrarti tecniche di hacking comuni.
• BodgeIt Store - The BodgeIt Store è un'applicazione web vulnerabile attualmente indirizzata a chi è nuovo nel pen testing.
• Bug Bounty Hunter - BugBountyHunter è una piattaforma di formazione creata dal bug bounty hunter zseano, pensata per aiutarti a imparare tutto sulle vulnerabilità delle applicazioni web e come iniziare.
• Butterfly Security Project - Il progetto ButterFly è un ambiente educativo pensato per offrire una panoramica sulle comuni vulnerabilità delle applicazioni web e PHP. L'ambiente include anche esempi che mostrano come tali vulnerabilità possono essere mitigate.
• bWAPP - bee-box è una VM Linux personalizzata preinstallata con bWAPP.
• Vulert - Vulert protegge il software rilevando vulnerabilità nelle dipendenze open-source—senza accedere al tuo codice. Supporta Js, PHP, Java, Python e altro.
• CloudGoat - CloudGoat è lo strumento di deployment AWS "Vulnerable by Design" di Rhino Security Labs
• Commix - Una raccolta di pagine web vulnerabili a difetti di command injection.
• CryptOMG - CryptOMG è un test bed in stile CTF configurabile che evidenzia difetti comuni nelle implementazioni crittografiche.
• CTFchallenge - CTFchallenge è una raccolta di 12 applicazioni web vulnerabili, ciascuna con la propria infrastruttura realistica costruita su diversi sottodomini contenenti vulnerabilità basate su bug report, esperienze reali o vulnerabilità presenti nella OWASP Top 10.
• Damn Vulnerable Cloud Application - Damn Vulnerable Cloud Application
• Damn Vulnerable Node Application(DVNA) - Damn Vulnerable NodeJS Application
• Damn Vulnerable Web App (DVWA) - Damn Vulnerablbe Web Application
• Damn Vulnerable Web Services (DVWS) -

Damn Vulnerable Web Services è un'applicazione web insicura con molteplici componenti di web service vulnerabili che possono essere utilizzati per apprendere vulnerabilità reali dei web service.

• Firing Range - un test bed creato da Google per scanner automatici di sicurezza delle applicazioni web.
• Foundstone Hackme Bank - Strumenti McAfee gratuiti per aiutarti nella protezione della sicurezza.
• Foundstone Hackme Books - Strumenti McAfee gratuiti per aiutarti nella protezione della sicurezza.
• Foundstone Hackme Casino- Strumenti McAfee gratuiti per aiutarti nella protezione della sicurezza.
• Foundstone Hackme Shipping - Strumenti McAfee gratuiti per aiutarti nella protezione della sicurezza.
• Foundstone Hackme Travel - Strumenti McAfee gratuiti per aiutarti nella protezione della sicurezza.
• GameOver - Il progetto GameOver è stato avviato con l'obiettivo di formare ed educare i neofiti sulle basi della sicurezza web e sulle comuni tipologie di attacchi web, aiutandoli a capire come funzionano.
• hackxor - Hackxor è un realistico gioco di hacking di applicazioni web, progettato per aiutare giocatori di tutti i livelli a sviluppare le proprie abilità. Tutte le missioni sono basate su vulnerabilità reali che ho personalmente trovato durante pentest, bug bounty e attività di ricerca.
• Hackazon - Una moderna applicazione web vulnerabile
• LAMPSecurity - LAMPSecurity è una serie di immagini di macchine virtuali vulnerabili con documentazione complementare, progettate per insegnare la sicurezza linux, apache, php, mysql.
• OWASP Mantra - Framework di sicurezza gratuito e open source basato su browser, è una raccolta di strumenti liberi integrati in un browser web, utile per penetration tester, sviluppatori e professionisti della sicurezza.
• NOWASP / Mutillidae 2 - OWASP Mutillidae II è un'applicazione web deliberatamente vulnerabile e open source, pensata per gli appassionati di sicurezza web.
• OSS – OopsSec Store - Applicazione e-commerce open source e intenzionalmente vulnerabile costruita con Next.js e React. Fornisce una piattaforma CTF realistica per imparare i test di sicurezza delle web app. Può essere installata rapidamente con npx create-oss-store.
• OWASP BWA - Collezione di applicazioni web vulnerabili distribuite su una macchina virtuale in formato VMware, compatibile con VMware Player gratuito e VMware vSphere Hypervisor (ESXi), oltre ai prodotti commerciali.
• OWASP Hackademic - Il progetto ti aiuta a testare le tue conoscenze sulla sicurezza delle applicazioni web. Puoi usarlo per attaccare realmente applicazioni web in un ambiente realistico ma controllato e sicuro.
• OWASP SiteGenerator - Permette la creazione di siti dinamici basati su file XML e vulnerabilità predefinite (alcune semplici, altre complesse) per coprire linguaggi .Net e architetture di sviluppo web (Html, Javascript, Flash, Java, ecc.).
• OWASP Bricks - Piattaforma di apprendimento sulla sicurezza delle applicazioni web basata su PHP e MySQL.
• OWASP Security Shepherd - Piattaforma di formazione per la sicurezza di applicazioni web e mobile. Progettata per aumentare la consapevolezza della sicurezza in un pubblico con competenze diverse.
• PentesterLab - Rendiamo più facile imparare l’hacking web!
• SecuriBench - Stanford SecuriBench è una raccolta di programmi open source reali da usare come banco di prova per strumenti di sicurezza statici e dinamici. La versione .91a si focalizza su applicazioni web in Java.
• SentinelTestbed - Sito web vulnerabile. Usato per testare le funzionalità di Sentinel.
• SocketToMe - Combina chat, un gioco di indovinare numeri e altre funzionalità nascoste.
• sqli-labs - Laboratori SQLI per testare error based, Blind boolean based, Time based.
• MCIR (Magical Code Injection Rainbow) - MCIR è un framework per creare ambienti di test configurabili per vulnerabilità. Include anche una raccolta di laboratori configurabili.
• Sqlilabs - Laboratorio per imparare tecniche di SQL Injection.
• VulnApp - Applicazione ASP.net che implementa le applicazioni più comuni incontrate nei penetration test.
• VulnLab - Un laboratorio di applicazioni web vulnerabili che utilizza Docker.
• PuzzleMall - Applicazione web vulnerabile per esercitarsi sui puzzle di sessione.
• WackoPicko - Applicazione web vulnerabile usata per testare scanner di vulnerabilità web.
• WebGoat.NET - Applicazione web che insegna le principali vulnerabilità di sicurezza. Contiene difetti generici comuni a molte web app.
• OWASP WebGoat8 - Piattaforma di apprendimento per le vulnerabilità di sicurezza web comuni. Include difetti generici, è scritta in Java e attivamente mantenuta.
• OWASP WrongSecrets - Applicazione vulnerabile che mostra come non gestire i segreti, aiutando a migliorare le capacità di ricerca di segreti.
• WebSecurity Dojo - Ambiente di formazione open source e autosufficiente per penetration test sulla sicurezza delle web app. Strumenti + Target = Dojo
• XVWA - Applicazione web mal scritta in PHP/MySQL per aiutare gli appassionati a imparare la sicurezza applicativa.
• Zap WAVE - Strumento integrato e facile da usare per test di penetrazione e ricerca di vulnerabilità nelle web app.
• Web-Security Academy - Piattaforma gratuita per imparare e testare le proprie capacità di sicurezza web con laboratori pratici e materiali didattici di Portswigger.
• OWASP Juice Shop - Piattaforma open source per testare abilità di sicurezza web. Contiene numerose sfide di hacking di vari livelli di difficoltà.
• tegal1337/0l4bs - Laboratori XSS per appassionati di sicurezza delle applicazioni web.
• tegal1337/br0w - Hack The Br0w. Gioca col browser, impara e divertiti con l’hacking!
• Pentest-Ground - Playground di pentest con varie applicazioni web vulnerabili.
• Unguard - Demo di applicazione cloud-native insicura per Kubernetes. Include servizi Java, .NET, Node.js, Go, PHP vulnerabili, database MariaDB e Redis, proxy Envoy e generatore di carico.
• Duck Store

Siti per scaricare vecchie versioni di vari software

• Exploit-DB - Exploit Database è mantenuto da Offensive Security, azienda di formazione in sicurezza informatica che offre certificazioni e servizi avanzati di penetration test.
• Old Apps - Offre agli utenti una vasta gamma di versioni attuali e precedenti di software familiari, gratuitamente.
• Old Version - Scegli un titolo software... per tornare alla versione che preferisci!
• VirtualHacking Repo - Virtual Hacking Lab
• Tutte le Versioni - PortableApps è la soluzione software portatile più popolare al mondo che ti permette di portare sempre con te i tuoi programmi preferiti

Siti dei fornitori di software per il testing della sicurezza

• Acunetix acuforum - Un forum volutamente vulnerabile a SQL Injection, directory traversal e altri attacchi web-based
• Acunetix acublog - Sito di test per Acunetix. È vulnerabile a SQL Injection, Cross-site Scripting (XSS) e altro ancora
• Acunetix acuart - Questa è un'applicazione PHP di esempio, intenzionalmente vulnerabile ad attacchi web. Serve per testare Acunetix
• Acunetix SecurityTweets - Sito di test HTML5 vulnerabile per Acunetix Web Vulnerability Scanner.
• Cenzic crackmebank - Questo è un sito di test e dimostrazione
• Fortify Zero Bank - Il sito Free Online Bank è pubblicato da Micro Focus Fortify con il solo scopo di mostrare la funzionalità ed efficacia dei prodotti Micro Focus Fortify WebInspect nell’individuare e segnalare vulnerabilità nelle applicazioni web.
• Fortify IWA.NET (Insecure Web Application) Pharmacy Direct - Un esempio di applicazione web Microsoft.NET Core per scenari e dimostrazioni DevSecOps. Include esempi di codice errato e insicuro - rilevabili tramite strumenti di sicurezza statici e dinamici come quelli forniti da OpenText.
• Fortify IWA.JAVA (Insecure Web Application) Pharmacy Direct - Un esempio di applicazione web Java/Spring per scenari e dimostrazioni DevSecOps. Include esempi di codice errato e insicuro - rilevabili tramite strumenti di sicurezza statici e dinamici come quelli forniti da OpenText.
• IBM altoromutual - Il sito AltoroJ è pubblicato da IBM Corporation con il solo scopo di dimostrare l’efficacia dei prodotti IBM nell’individuazione di vulnerabilità e difetti dei siti web
• Mavituna testsparker - Sito di test e dimostrazione per Netsparker
• Mavituna testsparker - Sito di test e dimostrazione per Netsparker, Next Generation Web Application Security Scanner. Avvia Netsparker per scansionare questo sito e trova le vulnerabilità
• Mavituna testsparker - Sito di test e dimostrazione per Netsparker
• NTOSpider Test Site - Questo sito è stato configurato per testare scanner automatici di applicazioni web come AppSpider

Siti per migliorare le tue competenze di hacking

• Blue Team Labs Online - Cyber Range - Piattaforma gamificata per i difensori che vogliono allenarsi su indagini e sfide di sicurezza: Incident Response, Digital Forensics, Security Operations, Reverse Engineering e Threat Hunting.
• Embedded Security CTF - In magazzini chiusi sparsi per il mondo ci sono valigette piene di obbligazioni Cy Yombinator che potrebbero valere miliardi di dollari. Dovrai aiutare a rubare le valigette
• EnigmaGroup - Enigma Group offre ai suoi membri una risorsa legale e sicura per sviluppare competenze di pen-testing su varie sfide proposte dal sito
• Escape - Il codice genera HTML in modo non sicuro. Dimostralo chiamando alert(1)
• Google Gruyere - Questo codelab mostra come le vulnerabilità delle applicazioni web possano essere sfruttate e come difendersi da questi attacchi
• Forensic Practical - Per affinare le tue competenze forensi e analizzare malware trovati su honeypots installandoli su sistemi puliti e osservandone il comportamento
• Gh0st Lab - L’idea originale di questa rete era creare un network di ricerca sulla sicurezza dove persone affini collaborano per la conoscenza comune
• Hack The Box - Piattaforma online che ti permette di testare le tue competenze di penetration testing e scambiare idee e metodologie con migliaia di esperti di sicurezza
• TryHackMe - Formazione in Cyber Security semplificata. Un’esperienza confortevole per imparare grazie a corsi preconfigurati che includono macchine virtuali (VM) pronte da avviare nel cloud
• Hack This Site - Hack This Site è un campo di addestramento gratuito, sicuro e legale per hacker che vogliono testare e ampliare le proprie competenze
• HackThis - Defend the Web è una piattaforma interattiva di Cyber Security
• HackQuest - Webhosting anonimo, server virtuali, email sicura
• Hack.me - Hacking-Lab è un servizio di Security Competence GmbH, una filiale svizzera di Compass Security AG.

Compass Security è un’azienda europea rinomata, specializzata in penetration testing, incident response, digital forensics e formazione sulla sicurezza

• Hacking-Lab - Hack.me è un progetto GRATUITO basato sulla community, alimentato da eLearnSecurity. La community può creare, ospitare e condividere codice vulnerabile di applicazioni web a fini educativi e di ricerca
• Hacker Test - HackerTest.net è la tua simulazione hacker online. Questa nuova imitazione realistica ti aiuterà a migliorare le conoscenze di sicurezza su JavaScript, PHP, HTML e pensiero grafico
• Halls Of Valhalla - Valhalla è un luogo per condividere conoscenza e idee. Gli utenti possono inviare codice, notizie e articoli su scienza, tecnologia e ingegneria
• Hax.Tor - HaX.ToR.Hu è un sito di sfide che mette l’accento sull’insegnamento delle basi della sicurezza in modo divertente
• Metasploit Unleashed - Il corso Metasploit Unleashed (MSFU) è offerto gratuitamente da Offensive Security per aumentare la consapevolezza a favore dei bambini meno fortunati dell’Africa orientale
• OverTheWire - I wargames offerti dalla comunità OverTheWire possono aiutarti a imparare e praticare concetti di sicurezza sotto forma di giochi divertenti
• PentestIT - I laboratori di penetration testing "Test lab" emulano un'infrastruttura IT di aziende reali e sono creati per il pen testing legale e il miglioramento delle competenze di penetration testing
• CSC Play on Demand - L'obiettivo di questa sfida è identificare i modi in cui un insider può accidentalmente o volontariamente trapelare segreti organizzativi tramite file apparentemente innocui
• Root Me - Il modo veloce, facile ed economico per allenare le tue abilità di hacking
• Security Treasure Hunt - Una nuova sfida di analisi delle vulnerabilità web basata su Packet Capture è disponibile fino al 30 aprile 2013, sponsorizzata da Cyber Aces
• Smash The Stack - Network di wargaming
• SQLZoo - Sfruttare un attacco SQL Injection implica risolvere un puzzle che è un incrocio tra Impiccato e 20 Domande. Serve un po' di comprensione di SQL e molta astuzia
• TheBlackSheep and Erik - Ti offre centinaia di sfide nei campi della programmazione, JavaScript, PHP, Java, steganografia, crittografia e altro
• ThisIsLegal - Un sito di wargames hacker con molto altro come forum e tutorial
• Try2Hack - Questo sito fornisce diverse sfide orientate alla sicurezza per il tuo divertimento. È in realtà uno dei siti di sfide più antichi ancora attivi
• VulnHub - Una raccolta di host vulnerabili e sfide associate per acquisire esperienza pratica nella cyber security.
• XSS: Can You XSS This? - Usa HTMLSanitizer per proteggere le tue Web App
• XSS Game - Impara a trovare e sfruttare bug XSS
• XSS: ProgPHP - Registrazione di domini di nuova generazione. Progphp.com sta arrivando!
• Pwnable.tw - Un nuovo set di sfide pwnable di alta qualità
• Pwnable.kr - Uno dei set di wargaming più popolari degli ultimi tempi
• PicoCTF - Progettato per studenti delle superiori, l'evento è solitamente nuovo ogni anno, ma rimane online e offre una grande progressione di difficoltà
• CTF Learn - Una nuova piattaforma di apprendimento basata su CTF con sfide contribuite dagli utenti
• Reversing.kr - Questo sito testa la tua capacità di Cracking & Reverse Code Engineering
• w3challs - Le nostre sfide coprono diversi sottoinsiemi dell'hacking, principalmente orientati all'offensiva. Ti aspettano molte tecnologie e architetture. Mostraci le tue abilità e poppa qualche shell (o calcolatrice)!
• RingZer0 Team - Il CTF online del RingZer0 Team offre tonnellate di sfide progettate per testare e migliorare le tue abilità di hacking tramite sfide di hacking.
• HellBound Hackers - L'approccio pratico alla sicurezza informatica e sfide di sicurezza simulate
• Komodo Consulting - Application Security Challenge progettata per mettere alla prova le tue abilità di hacking sulle applicazioni
• Maxkersten Binary Analysis - Un corso pratico di analisi binaria
• PwnAdventure - Pwnie Island è un MMORPG true open-world in prima persona, a rilascio limitato, ambientato su una splendida isola dove può succedere di tutto. Questo perché il gioco è intenzionalmente vulnerabile a ogni tipo di hack! Volare, soldi infiniti e altro sono a un cambio di client o proxy di rete di distanza
• INE - Formazione IT pratica online e certificazioni

Laboratori

• CTFd - CTF come ne hai bisogno
• Mellivora - Mellivora è un motore CTF scritto in PHP
• Metasploitable2 - Metasploitable è una macchina virtuale Linux intenzionalmente vulnerabile
• NightShade - Un semplice framework capture the flag.
• MCIR - Il Magical Code Injection Rainbow! MCIR è un framework per costruire ambienti di test di vulnerabilità configurabili. MCIR è anche una collezione di ambienti di test di vulnerabilità configurabili.
• Vagrant - Ambienti di sviluppo semplici da gestire
• NETinVM - Uno strumento per insegnare e imparare su sistemi, reti e sicurezza
• SmartOS - SmartOS è un hypervisor SVR4 gratuito e open-source basato sul sistema operativo UNIX che combina la tecnologia OpenSolaris con la virtualizzazione KVM di Linux.
• SmartDataCenter - Joyent Triton DataCenter: una piattaforma di gestione cloud con supporto di prima classe per i container.
• vSphere Hypervisor - vSphere Hypervisor è un hypervisor bare-metal che virtualizza server; permettendoti di consolidare le applicazioni risparmiando tempo e denaro nella gestione della tua infrastruttura IT.
• GNS3 - Costruisci, progetta e testa la tua rete in un ambiente virtuale sicuro e accedi alla più grande comunità di networking di supporto.
• OCCP - Una piattaforma gratuita, configurabile e open-source di virtualizzazione per educatori di cyber security e coordinatori di eventi di sfida.
• XAMPP - XAMPP è una distribuzione Apache completamente gratuita e facile da installare che contiene MariaDB, PHP e Perl. Il pacchetto open source XAMPP è stato creato per essere incredibilmente facile da installare e da usare.
• Kubernetes Goat - Kubernetes Goat è un ambiente cluster intenzionalmente vulnerabile progettato per imparare e praticare la sicurezza Kubernetes.
• Offensive Security - Allena le tue abilità di pentesting in un laboratorio autonomo e privato -- con l'aggiunta di PG Play e PG Practice ai laboratori di formazione Proving Grounds di Offensive Security.
• Game of Hacks - Bene, questa non è esattamente un'app web vulnerabile – ma è comunque un modo coinvolgente per imparare a riconoscere le vulnerabilità di sicurezza delle applicazioni, quindi abbiamo pensato di includerla
• Google Gruyere - Questo sito vulnerabile "formaggioso" è pieno di falle ed è pensato per chi sta iniziando a studiare la sicurezza delle applicazioni.
• Hellbound Hackers - Hellbound Hackers, l'approccio pratico alla sicurezza informatica, offre una vasta gamma di sfide con l'obiettivo di insegnare come identificare gli exploit e suggerire il codice per correggerli
• Peruggia - Peruggia è un ambiente sicuro per professionisti della sicurezza e sviluppatori per imparare e testare attacchi comuni sulle applicazioni web.
• oliverwiegers/pentest_lab - Laboratorio pentest locale che sfrutta Docker Compose.
• Hacksplaining - Lezioni interattive su diverse vulnerabilità web ben note.
• LabEx - Una piattaforma online per migliorare le tue competenze in Linux, DevOps e Cybersecurity tramite laboratori pratici
• gRPC Goat - gRPC Goat è un laboratorio "Vulnerable by Design" creato per fornire un ambiente interattivo e pratico per imparare e praticare la sicurezza gRPC.
• SocengLab - SocEng Lab è una piattaforma open-source di simulazione di ingegneria sociale adattiva che porta rigore accademico alla formazione sulla consapevolezza della sicurezza.

App Mobile

• Allsafe - Allsafe è un'app intenzionalmente vulnerabile che contiene varie vulnerabilità.
• Damn Vulnerable Android App (DVAA) - Damn Vulnerable Android App (DVAA) è un'app Android che contiene vulnerabilità intenzionali
• Damn Vulnerable FirefoxOS Application (DVFA) - Damn Vulnerable FirefoxOS Application - un'applicazione volutamente vulnerabile per dimostrazioni
• Damn Vulnerable iOS App (DVIA) - Damn Vulnerable iOS App (DVIA) è un'applicazione iOS volutamente vulnerabile
• ExploitMe Mobile Android Labs - L'app Android insicura per il tuo piacere di hacking
• ExploitMe Mobile iPhone Labs - Un'app iPhone difettosa per il tuo piacere di hacking
• Hacme Bank Android - Strumenti gratuiti McAfee per aiutarti nella protezione della sicurezza.
• InsecureBank - Cyber Tales di Paladion
• NcN Wargame - No cON Name 2012 Challenges
• OWASP iGoat - Il progetto OWASP iGoat è uno strumento di apprendimento per la sicurezza dedicato agli sviluppatori iOS per conoscere le debolezze di sicurezza in iOS -- rompendo e correggendo i problemi.
• OWASP Goatdroid - OWASP GoatDroid è un ambiente formativo completamente funzionale e autonomo per educare sviluppatori e tester alla sicurezza Android
• OWASP MSTG Hacking Playground - Un set di app mobili vulnerabili sulle quali puoi sfruttare le vulnerabilità usando le tecniche dell'OWASP MSTG.
• OWASP MSTG Crackmes - Una serie di app mobili che ti aiutano a migliorare le tue competenze di reverse engineering basate sull'OWASP MSTG.

API

• OWASP crAPI - crAPI sta per “Completely Ridiculous API”. Simula un'applicazione web basata su microservizi e API che è una piattaforma per proprietari di veicoli. crAPI si specializza nelle vulnerabilità comuni delle applicazioni moderne basate su API, incluse tutte quelle dell'OWASP Top 10 per le API.
• VAmPI - VAmPI è una API vulnerabile realizzata con Flask che include vulnerabilità tra le top 10 OWASP per le API.
• capital - Un'applicazione API creata per essere vulnerabile basata sulle top 10 vulnerabilità API OWASP. Usa c{api}tal per imparare, allenarti ed eseguire exploit sulle vulnerabilità di sicurezza API all'interno del tuo CTF sulla sicurezza API.
• dvws-node - Damn Vulnerable Web Services è un'applicazione vulnerabile con un web service e una API che può essere usata per imparare le vulnerabilità relative a webservices/API.
• VulnerableLightApp - API vulnerabile per scopi didattici

I contributi sono sempre apprezzati

--- Tranlated By Open Ai Tx | Last indexed: 2026-01-12 ---