Awesome Vulnerable

ペネトレーションテストの練習ラボとして利用できる脆弱なアプリケーションとシステムの厳選リスト。このリストは初心者からプロまで、ペネトレーションスキルのテストと向上を支援することを目的としています。

目次

• 脆弱なWebアプリケーション
• セキュリティテストソフトウェアベンダーによるサイト
• 各種ソフトウェアの旧バージョンをダウンロードするサイト
• ハッキングスキルを向上させるためのサイト
• ラボ
• モバイルアプリ

脆弱なWebアプリケーション

• BadStore - Badstore.netは、ハッカーがWebアプリケーションの脆弱性をどのように悪用するかを理解し、リスクを減らす方法を示すことに特化しています。Badstoreデモソフトウェアは、一般的なハッキング手法を示すために設計されています。
• BodgeIt Store - BodgeIt Storeは、ペンテスト初心者向けの脆弱なWebアプリケーションです。
• Bug Bounty Hunter - BugBountyHunterは、バグバウンティハンターzseanoによって作られたトレーニングプラットフォームで、Webアプリケーションの脆弱性や始め方を学ぶことができます。
• Butterfly Security Project - ButterFlyプロジェクトは、一般的なWebアプリケーションおよびPHPの脆弱性への洞察を与える教育環境です。脆弱性の緩和例も含まれています。
• bWAPP - bee-boxはbWAPPをプリインストールしたカスタムLinux VMです。
• Vulert - Vulertは、コードにアクセスせずにオープンソース依存関係の脆弱性を検出してソフトウェアを保護します。Js、PHP、Java、Pythonなどをサポート。
• CloudGoat - CloudGoatはRhino Security Labsによる「設計上脆弱な」AWSデプロイメントツールです。
• Commix - コマンドインジェクション脆弱性を持つWebページのコレクションです。
• CryptOMG - CryptOMGは暗号実装の一般的な欠陥を強調する、設定可能なCTFスタイルのテストベッドです。
• CTFchallenge - CTFchallengeは12個の脆弱なWebアプリケーションのコレクションで、各アプリは独自の現実的なインフラと、バグレポートやOWASP Top 10などを基にした脆弱性を含みます。
• Damn Vulnerable Cloud Application - Damn Vulnerable Cloud Application
• Damn Vulnerable Node Application(DVNA) - Damn Vulnerable NodeJS Application
• Damn Vulnerable Web App (DVWA) - Damn Vulnerablbe Web Application
• Damn Vulnerable Web Services (DVWS) -

Damn Vulnerable Web Servicesは、学習用に設計された複数の脆弱なWebサービスコンポーネントを持つ不安全なWebアプリケーションです。

• Firing Range - Googleが自動Webアプリケーションセキュリティスキャナ用に作成したテストベッドです。
• Foundstone Hackme Bank - セキュリティ対策に役立つMcAfeeの無料ツール。
• Foundstone Hackme Books - セキュリティ対策に役立つMcAfeeの無料ツール。
• Foundstone Hackme Casino- セキュリティ対策に役立つMcAfeeの無料ツール。
• Foundstone Hackme Shipping - セキュリティ対策に役立つMcAfeeの無料ツール。
• Foundstone Hackme Travel - セキュリティ対策に役立つMcAfeeの無料ツール。
• GameOver - Project GameOverは、Webセキュリティの基本や一般的なWeb攻撃を新規ユーザーに教育することを目的としています。
• hackxor - Hackxorは現実的なWebアプリケーションハッキングゲームで、あらゆるレベルのプレイヤーがスキルを磨くために設計されています。すべてのミッションは、ペンテストやバグバウンティ、調査中に実際に発見した脆弱性に基づいています。
• Hackazon - 最新の脆弱性を持つウェブアプリ
• LAMPSecurity - LAMPSecurityトレーニングは、Linux、Apache、PHP、MySQLのセキュリティを学ぶための脆弱な仮想マシンイメージと補助ドキュメントのシリーズです。
• OWASP Mantra - 無料・オープンソースのブラウザベースのセキュリティフレームワークで、ペネトレーションテスター、ウェブアプリ開発者、セキュリティ専門家向けのツール集です。
• NOWASP / Mutillidae 2 - OWASP Mutillidae IIは、ウェブセキュリティ愛好家向けの脆弱なウェブアプリケーションを提供する、無料・オープンソースのターゲットです。
• OSS – OopsSec Store - Next.jsとReactで構築された脆弱なオープンソースのeコマースアプリ。Webアプリケーションセキュリティテスト学習用のリアルなCTFプラットフォーム。npx create-oss-storeで簡単セットアップ可能。
• OWASP BWA - 無料のVMware PlayerやVMware vSphere Hypervisor(ESXi)製品と互換性のある仮想マシン上で配布される脆弱なウェブアプリケーションのコレクションです。
• OWASP Hackademic - ウェブアプリケーションセキュリティの知識をテストできるプロジェクト。現実的かつ安全にウェブアプリを攻撃可能な環境を提供します。
• OWASP SiteGenerator - XMLファイルと事前定義された脆弱性（.Net、Html、Javascript、Flash、Java等対応）に基づく動的ウェブサイトの作成が可能です。
• OWASP Bricks - PHPとMySQLで構築されたウェブアプリケーションセキュリティ学習プラットフォーム
• OWASP Security Shepherd - OWASP Security ShepherdはWeb・モバイルのセキュリティ教育プラットフォーム。多様なスキルセットのセキュリティ意識を向上させるために設計されています。
• PentesterLab - Webハッキング学習をより簡単に！
• SecuriBench - Stanford SecuriBenchは、静的・動的セキュリティツールのテスト用オープンソース実プログラム集。リリース.91aはJava製ウェブアプリ中心。
• SentinelTestbed - 脆弱なウェブサイト。sentinel機能のテストに使用。
• SocketToMe - チャットや数字当てゲーム、その他隠し機能を組み合わせたツール
• sqli-labs - エラー型、ブラインド型、時間型などのSQLIラボ
• MCIR (Magical Code Injection Rainbow) - 脆弱性テストベッド構築用フレームワークMCIR。設定可能な脆弱性テストベッド集も含む
• Sqlilabs - SQLインジェクション技法学習用ラボセット
• VulnApp - ペンテストでよく使われるASP.netアプリの脆弱性実装
• VulnLab - Dockerを用いた脆弱なウェブアプリラボ
• PuzzleMall - セッションパズル練習用の脆弱なウェブアプリ
• WackoPicko - WackoPickoはウェブアプリ脆弱性スキャナのテスト用脆弱なウェブアプリ
• WebGoat.NET - 一般的なウェブセキュリティの欠陥を学べる教育用ウェブアプリケーション
• OWASP WebGoat8 - 一般的なウェブセキュリティの欠陥を学べる教育用Java製プラットフォーム。積極的にメンテナンスされています。
• OWASP WrongSecrets - 秘密情報の保存方法の悪例を示す脆弱なアプリ。シークレットハンティングスキル向上に役立ちます。
• WebSecurity Dojo - Webアプリペネトレーションテスト用の無料・オープンソース自給型トレーニング環境。ツール＋ターゲット＝道場
• XVWA - XVWAはPHP/MySQL製の脆弱なウェブアプリで、セキュリティ学習者向け
• Zap WAVE - ウェブアプリ脆弱性発見用の統合ペンテストツール
• Web-Security Academy - Portswigger提供のWebアプリセキュリティ技能学習・テスト用無料プラットフォーム
• OWASP Juice Shop - Webアプリセキュリティ技能テスト用オープンソースプラットフォーム。難易度多様なハッキングチャレンジ多数
• tegal1337/0l4bs - Webアプリセキュリティ愛好家向けクロスサイトスクリプティング(XSS)ラボ
• tegal1337/br0w - ブラウザで遊んで学ぶ、ハック楽しい！
• Pentest-Ground - 脆弱なウェブアプリ多数のペンテストプレイグラウンド。
• Unguard - Kubernetes用の安全でないクラウドネイティブマイクロサービスデモ。脆弱なJava, .NET, Node.js, Go, PHPサービス、MariaDB/Redis/Envoy/ロードジェネレータ含む。
• Duck Store

様々なソフトウェアの旧バージョンをダウンロードできるサイト

• Exploit-DB - Exploit DatabaseはOffensive Security社が管理。情報セキュリティ資格・ペンテストサービスを提供
• Old Apps - 各種ソフトの最新・旧バージョンを無料で多数提供
• Old Version - お好きなソフトタイトルを選び、好きなバージョンにダウングレード！
• VirtualHacking Repo - バーチャルハッキングラボ
• All Version - PortableAppsは世界で最も人気のあるポータブルソフトウェアソリューションであり、お気に入りのソフトウェアを持ち運ぶことができます

セキュリティテストソフトウェアベンダーによるサイト

• Acunetix acuforum - SQLインジェクション、ディレクトリトラバーサル、その他のWebベース攻撃に意図的に脆弱なフォーラム
• Acunetix acublog - Acunetix用のテストサイト。SQLインジェクション、クロスサイトスクリプティング（XSS）などに脆弱
• Acunetix acuart - これは意図的にWeb攻撃に脆弱なPHPアプリケーションの例です。Acunetixのテストに役立ちます
• Acunetix SecurityTweets - Acunetix Web脆弱性スキャナ用の脆弱なHTML5テストウェブサイト
• Cenzic crackmebank - これはテストおよびデモサイトです
• Fortify Zero Bank - この無料オンラインバンクウェブサイトはMicro Focus Fortifyによって公開されており、Micro Focus FortifyのWebInspect製品がWebアプリケーションの脆弱性を検出し報告する機能と効果を示す目的のみで提供されています
• Fortify IWA.NET (Insecure Web Application) Pharmacy Direct - DevSecOpsシナリオおよびデモ用のMicrosoft.NET Core Webアプリケーション例。不正かつ脆弱なコード例が含まれており、OpenTextが提供する静的・動的アプリケーションセキュリティテストツールで発見可能です
• Fortify IWA.JAVA (Insecure Web Application) Pharmacy Direct - DevSecOpsシナリオおよびデモ用のJava/Spring Webアプリケーション例。不正かつ脆弱なコード例が含まれており、OpenTextが提供する静的・動的アプリケーションセキュリティテストツールで発見可能です
• IBM altoromutual - AltoroJウェブサイトはIBM社によって公開されており、IBM製品がWebアプリケーションの脆弱性やウェブサイトの欠陥を検出する効果を示すためだけのものです
• Mavituna testsparker - Netsparker用のテストおよびデモサイトです
• Mavituna testsparker - Netsparker、次世代Webアプリケーションセキュリティスキャナ用のテストおよびデモサイト。このサイトをスキャンし、脆弱性を発見してください
• Mavituna testsparker - Netsparker用のテストおよびデモサイトです
• NTOSpider Test Site - AppSpiderなどの自動Webアプリケーションスキャナのテスト用に設定されたサイトです

ハッキングスキル向上のためのサイト

• Blue Team Labs Online - Cyber Range -セキュリティ調査やチャレンジを通じて、インシデント対応、デジタルフォレンジック、セキュリティ運用、リバースエンジニアリング、脅威ハンティングなどのスキルを練習できるゲーミフィケーションプラットフォーム
• Embedded Security CTF - 世界中のロックされた倉庫に散らばったブリーフケースには数十億ドルのCy Yombinator債券が入っています。あなたはそのブリーフケースを盗む手助けをします
• EnigmaGroup - Enigma Groupは、会員がペンテストスキルを様々なチャレンジで開発できる合法的かつ安全なセキュリティリソースを提供しています
• Escape - コードが安全でない方法でHTMLを生成します。alert(1)を呼び出して証明してください
• Google Gruyere - このコードラボではWebアプリケーションの脆弱性がどのように悪用されるか、防御方法を示します
• Forensic Practical - フォレンジックスキルを磨き、ハニーポットで見つかったマルウェアをクリーンなコンピュータにインストールして挙動を観察します
• Gh0st Lab - このネットワークの元々のアイデアは、志を同じくする個人が知識の共通目標に向かって協力できるセキュリティ研究ネットワークを作ることでした
• Hack The Box - ペネトレーションテストスキルを試し、セキュリティ分野の何千人もの人々とアイデアや方法論を交換できるオンラインプラットフォーム
• TryHackMe - サイバーセキュリティトレーニングを簡単に。クラウド上の仮想マシン（VM）を使った事前構成コースで快適に学習できます
• Hack This Site - Hack This Siteはハッカーがスキルをテストし拡張するための無料、安全、合法なトレーニング場です
• HackThis - Defend the Webはインタラクティブなサイバーセキュリティプラットフォームです
• HackQuest - 匿名ウェブホスティング、仮想サーバー、セキュアメール
• Hack.me - Hacking-LabはSecurity Competence GmbH（Compass Security AGのスイス子会社）が提供するサービスです。

Compass Securityはペンテスト、インシデント対応、デジタルフォレンジック、セキュリティトレーニングを専門とするヨーロッパの著名企業です

• Hacking-Lab - Hack.meはeLearnSecurityが運営する無料のコミュニティプロジェクトです。コミュニティは教育・研究目的で脆弱なWebアプリコードを作成・ホスト・共有できます
• Hacker Test - HackerTest.netは自分専用のオンラインハッカーシミュレーションです。本物に近い模倣でJavaScript、PHP、HTML、グラフィック思考のセキュリティ知識を高めます
• Halls Of Valhalla - Valhallaは知識やアイデアを共有する場です。ユーザーはコードや科学、技術、工学関連のニュース・記事を投稿できます
• Hax.Tor - HaX.ToR.Huは基本的なセキュリティ関連問題を楽しく学ぶことに重点を置いたチャレンジサイトです
• Metasploit Unleashed - Metasploit Unleashed（MSFU）コースは、アフリカ東部の恵まれない子供たちへの啓発活動のためにOffensive Securityが無料提供しています
• OverTheWire - OverTheWireコミュニティが提供するウォーゲームは、楽しいゲーム形式でセキュリティ概念を学び、練習するのに役立ちます。
• PentestIT - ペネトレーションテストラボ「Test lab」は、実際の企業のITインフラをエミュレートし、合法的なペンテストおよびペネトレーションテストスキルの向上のために作成されています。
• CSC Play on Demand - このチャレンジの目的は、内部者が組織の秘密を一見無害なファイルを通じて偶然または悪意を持って漏洩させる手段を特定することです。
• Root Me - ハッキングスキルを素早く、簡単に、そして手頃な価格でトレーニングできる方法です。
• Security Treasure Hunt - Cyber Acesがスポンサーの新しいパケットキャプチャベースのWeb脆弱性分析チャレンジが2013年4月30日まで利用可能です。
• Smash The Stack - ウォーゲーミングネットワーク
• SQLZoo - SQLインジェクション攻撃を利用したパズルを解決することで、ハングマンと20クエスチョンズの間のような体験ができます。SQLの基本知識と多くの工夫が必要です。
• TheBlackSheep and Erik - プログラミング、JavaScript、PHP、Java、ステガノグラフィ、暗号などの分野で数百の課題を提供します。
• ThisIsLegal - フォーラムやチュートリアルなども備えたハッカー向けウォーゲームサイト
• Try2Hack - このサイトは、エンターテイメントのためのセキュリティ指向の課題をいくつか提供しています。実際、現存する最古の課題サイトの一つです。
• VulnHub - 脆弱なホストと関連課題のコレクションで、サイバーセキュリティの「実践的」な経験を得ることができます。
• XSS: Can You XSS This? - HTMLSanitizerを使用してWebアプリを保護しましょう。
• XSS Game - XSSバグの発見と悪用方法を学ぶことができます。
• XSS: ProgPHP - 次世代ドメイン登録。Progphp.comは近日公開予定！
• Pwnable.tw - 新しい高品質のpwnable課題セットです。
• Pwnable.kr - 最近人気のあるウォーゲーム課題セットの一つです。
• PicoCTF - 高校生向けに設計されており、毎年新しいイベントが開催されますが、オンラインに残され、優れた難易度の進行があります。
• CTF Learn - ユーザー投稿型課題を持つ新しいCTF学習プラットフォーム
• Reversing.kr - クラッキング＆リバースコードエンジニアリング能力を試すサイトです。
• w3challs - 私たちの課題はハッキングのさまざまなサブセットに対応しており、主に攻撃的なものが中心です。多様な技術とアーキテクチャがあなたを待っています。あなたの技術を見せてshell（またはcalc）を爆発させてください！
• RingZer0 Team - RingZer0 TeamのオンラインCTFは、ハッキング課題を通じてあなたのハッキングスキルを試し、向上させるために設計された多数の課題を提供します。
• HellBound Hackers - コンピュータセキュリティと模擬セキュリティ課題に対する実践的アプローチ
• Komodo Consulting - アプリケーションハッキングスキルを問うアプリケーションセキュリティチャレンジ
• Maxkersten Binary Analysis - 実践的なバイナリアナリシスコース
• PwnAdventure - Pwnie Islandは制限リリースの一人称視点の真のオープンワールドMMORPGで、美しい島で何が起こるかわかりません。このゲームは意図的にあらゆる種類のハックに脆弱です！飛行、無限キャッシュなど、すべてはクライアントの変更やネットワークプロキシ次第です。
• INE - 実践的なオンラインITトレーニングと認定

ラボ

• CTFd - 必要に応じたCTF
• Mellivora - MellivoraはPHPで書かれたCTFエンジンです。
• Metasploitable2 - Metasploitableは意図的に脆弱なLinux仮想マシンです。
• NightShade - シンプルなキャプチャ・ザ・フラッグフレームワークです。
• MCIR - 魔法のコードインジェクションレインボー！MCIRは設定可能な脆弱性テストベッド構築用フレームワークです。また、設定可能な脆弱性テストベッドのコレクションでもあります。
• Vagrant - 簡単に作れる開発環境
• NETinVM - システム、ネットワーク、セキュリティについて教え、学ぶためのツール
• SmartOS - SmartOSはUNIXオペレーティングシステムベースの無料かつオープンソースのSVR4ハイパーバイザーで、OpenSolaris技術とLinuxのKVM仮想化を組み合わせています。
• SmartDataCenter - Joyent Triton DataCenter：コンテナを第一級でサポートするクラウド管理プラットフォーム。
• vSphere Hypervisor - vSphere Hypervisorはサーバーを仮想化するベアメタルハイパーバイザーで、アプリケーションを統合し、ITインフラ管理の時間とコストを節約できます。
• GNS3 - リスクのない仮想環境でネットワークを構築、設計、テストし、最大のネットワーキングコミュニティにアクセスできます。
• OCCP - サイバーセキュリティ教育者やチャレンジイベントコーディネーター向けの無料で設定可能なオープンソース仮想化プラットフォームです。
• XAMPP - XAMPPは、MariaDB、PHP、Perlを含む、完全無料で簡単にインストールできるApacheディストリビューションです。XAMPPのオープンソースパッケージは、非常に簡単にインストールおよび使用できるように設定されています。
• Kubernetes Goat - Kubernetes Goatは、Kubernetesセキュリティを学び、実践するために意図的に脆弱なクラスター環境として設計されています。
• Offensive Security - PG PlayやPG Practiceの追加と共に、Offensive SecurityのProving Groundsトレーニングラボで、スタンドアロンのプライベートラボ環境でペンテストスキルを練習できます。
• Game of Hacks - これは正確には脆弱なWebアプリではありませんが、アプリケーションセキュリティの脆弱性を見つける方法を学ぶもう一つの魅力的な方法なので、ここに加えました。
• Google Gruyere - この「チーズだらけ」の脆弱なサイトは穴だらけで、アプリケーションセキュリティの学習を始めたばかりの人向けです。
• Hellbound Hackers - Hellbound Hackersは、実践的なコンピュータセキュリティ学習サイトであり、さまざまなチャレンジを通じて、エクスプロイトの特定方法と修正コードの提案を教えます。
• Peruggia - Peruggiaは、Webアプリケーションに対する一般的な攻撃を学び、テストするためのセキュアな環境をセキュリティ専門家や開発者に提供します。
• oliverwiegers/pentest_lab - Docker Composeを活用したローカルペンテストラボです。
• Hacksplaining - よく知られたWeb脆弱性に関するインタラクティブなレッスンを提供します。
• LabEx - ハンズオンラボを通じてLinux、DevOps、サイバーセキュリティスキルを向上させるオンラインプラットフォームです。
• gRPC Goat - gRPC Goatは「意図的に脆弱に設計された」ラボであり、gRPCセキュリティの学習と実践のためのインタラクティブなプレイグラウンドです。
• SocengLab - SocEng Labは、セキュリティ意識向上トレーニングに学術的厳格さをもたらすオープンソースの適応型ソーシャルエンジニアリングシミュレーションプラットフォームです。

モバイルアプリ

• Allsafe - Allsafeは、様々な脆弱性を含む意図的に脆弱なアプリケーションです。
• Damn Vulnerable Android App (DVAA) - Damn Vulnerable Android App (DVAA)は、意図的な脆弱性を含むAndroidアプリケーションです。
• Damn Vulnerable FirefoxOS Application (DVFA) - Damn Vulnerable FirefoxOS Application - デモンストレーション用に意図的に脆弱に作られたアプリケーションです。
• Damn Vulnerable iOS App (DVIA) - Damn Vulnerable iOS App (DVIA)は、非常に脆弱なiOSアプリケーションです。
• ExploitMe Mobile Android Labs - ハッキングのための脆弱なAndroidアプリです。
• ExploitMe Mobile iPhone Labs - ハッキング用の不良iPhoneアプリです。
• Hacme Bank Android - セキュリティ保護のための無料McAfeeツールです。
• InsecureBank - PaladionによるCyber Tales
• NcN Wargame - No cON Name 2012 チャレンジ
• OWASP iGoat - OWASP iGoatプロジェクトは、iOS開発者がiOSのセキュリティの弱点を「壊す」ことや修正することを通じて学ぶためのセキュリティ学習ツールです。
• OWASP Goatdroid - OWASP GoatDroidは、Androidセキュリティについて開発者やテスターを教育するための完全に機能する自己完結型のトレーニング環境です。
• OWASP MSTG Hacking Playground - OWASP MSTGの技術を使い、脆弱性を攻撃できるモバイル脆弱アプリセットです。
• OWASP MSTG Crackmes - OWASP MSTGに基づいてリバースエンジニアリングスキルを向上させるためのモバイルアプリセットです。

API

• OWASP crAPI - crAPIは「Completely Ridiculous API」の略です。これはAPI駆動・マイクロサービスベースのWebアプリケーションをシミュレートし、車両オーナー向けプラットフォームです。crAPIは、APIベースの現代アプリケーションで発生する一般的な脆弱性（OWASP Top 10 for APIsを含む）に特化しています。
• VAmPI - VAmPIはFlaskで作られた脆弱なAPIで、OWASP Top 10 API脆弱性を含んでいます。
• capital - OWASP Top 10 API脆弱性に基づいて構築された脆弱なAPIアプリケーション。c{api}talを利用して、自分自身のAPIセキュリティCTF内でAPIセキュリティ脆弱性の学習、訓練、エクスプロイトができます。
• dvws-node - Damn Vulnerable Web Servicesは、WebサービスとAPIを備えた脆弱なアプリケーションで、Webサービス/API関連の脆弱性について学べます。
• VulnerableLightApp - 教育目的の脆弱なAPIです。

貢献はいつでも歓迎します

--- Tranlated By Open Ai Tx | Last indexed: 2026-01-12 ---