Awesome Vulnerable

Uma lista selecionada de APLICATIVOS e SISTEMAS VULNERÁVEIS que podem ser usados como LABORATÓRIO DE PRÁTICA DE TESTES DE PENETRAÇÃO. Esta lista tem como objetivo ajudar iniciantes e profissionais a testar e aprimorar suas habilidades em pentest.

Conteúdo

• Aplicações Web Vulneráveis
• Sites de Fornecedores de Software de Teste de Segurança
• Sites para Baixar Versões Antigas de Diversos Softwares
• Sites para Aprimorar suas Habilidades de Hacking
• Laboratórios
• Apps Mobile

Aplicações Web Vulneráveis

• BadStore - Badstore.net é dedicado a ajudá-lo a entender como hackers exploram vulnerabilidades em aplicações web, mostrando como reduzir sua exposição. Nosso software de demonstração Badstore é projetado para mostrar técnicas comuns de hacking.
• BodgeIt Store - BodgeIt Store é uma aplicação web vulnerável voltada para pessoas iniciantes em testes de penetração.
• Bug Bounty Hunter - BugBountyHunter é uma plataforma de treinamento criada pelo caçador de bugs zseano, projetada para ajudá-lo a aprender sobre vulnerabilidades em aplicações web e como começar.
• Butterfly Security Project - O projeto ButterFly é um ambiente educacional que oferece uma visão sobre vulnerabilidades comuns em aplicações web e PHP. O ambiente inclui exemplos de como mitigar essas vulnerabilidades.
• bWAPP - bee-box é uma VM Linux personalizada pré-instalada com bWAPP.
• Vulert - Vulert protege softwares detectando vulnerabilidades em dependências open-source—sem acessar seu código. Suporta Js, PHP, Java, Python e outros.
• CloudGoat - CloudGoat é uma ferramenta de implantação AWS "Vulnerável por Design" da Rhino Security Labs.
• Commix - Uma coleção de páginas web vulneráveis a falhas de injeção de comandos.
• CryptOMG - CryptOMG é um ambiente de testes estilo CTF configurável que destaca falhas comuns em implementações criptográficas.
• CTFchallenge - CTFchallenge é uma coleção de 12 aplicações web vulneráveis, cada uma com sua própria infraestrutura realista construída sobre vários subdomínios, contendo vulnerabilidades baseadas em relatórios de bugs, experiências reais ou vulnerabilidades da OWASP Top 10.
• Damn Vulnerable Cloud Application - Damn Vulnerable Cloud Application
• Damn Vulnerable Node Application(DVNA) - Aplicação NodeJS Extremamente Vulnerável
• Damn Vulnerable Web App (DVWA) - Aplicação Web Extremamente Vulnerável
• Damn Vulnerable Web Services (DVWS) -

Damn Vulnerable Web Services é uma aplicação web insegura com múltiplos componentes vulneráveis de serviços web para aprender vulnerabilidades reais.

• Firing Range - ambiente de teste criado pelo Google para scanners automatizados de segurança em aplicações web.
• Foundstone Hackme Bank - Ferramentas gratuitas da McAfee para auxiliar na proteção de segurança.
• Foundstone Hackme Books - Ferramentas gratuitas da McAfee para auxiliar na proteção de segurança.
• Foundstone Hackme Casino- Ferramentas gratuitas da McAfee para auxiliar na proteção de segurança.
• Foundstone Hackme Shipping - Ferramentas gratuitas da McAfee para auxiliar na proteção de segurança.
• Foundstone Hackme Travel - Ferramentas gratuitas da McAfee para auxiliar na proteção de segurança.
• GameOver - O Projeto GameOver foi criado com o objetivo de treinar e educar iniciantes sobre os fundamentos da segurança web, ataques comuns e como eles funcionam.
• hackxor - Hackxor é um jogo de hacking em aplicação web realista, projetado para ajudar jogadores de todos os níveis a desenvolver suas habilidades. Todas as missões são baseadas em vulnerabilidades reais encontradas em pentests, caça de bugs e pesquisas.
• Hackazon - Um aplicativo web moderno e vulnerável
• LAMPSecurity - O treinamento LAMPSecurity consiste em uma série de imagens de máquinas virtuais vulneráveis junto com documentação complementar projetada para ensinar segurança de linux, apache, php, mysql.
• OWASP Mantra - Framework de Segurança baseado em Navegador, gratuito e de código aberto, é uma coleção de ferramentas integradas em um navegador web, útil para pentesters, desenvolvedores, profissionais de segurança, etc.
• NOWASP / Mutillidae 2 - OWASP Mutillidae II é um aplicativo web gratuito e de código aberto, deliberadamente vulnerável, fornecendo um alvo para entusiastas de segurança web.
• OSS – OopsSec Store - Um aplicativo de e-commerce de código aberto, intencionalmente vulnerável, construído com Next.js e React. Fornece uma plataforma realista de CTF para aprendizado de testes de segurança em aplicações web. Pode ser rapidamente configurado usando npx create-oss-store.
• OWASP BWA - Uma coleção de aplicações web vulneráveis distribuída em uma Máquina Virtual no formato VMware, compatível com VMware Player gratuito e VMware vSphere Hypervisor (ESXi) (junto com produtos mais antigos e comerciais).
• OWASP Hackademic - O projeto ajuda a testar seu conhecimento em segurança de aplicações web. Você pode utilizá-lo para atacar aplicações web em um ambiente realista, controlável e seguro.
• OWASP SiteGenerator - OWASP SiteGenerator permite criar sites dinâmicos baseados em arquivos XML e vulnerabilidades pré-definidas (simples e complexas), abrangendo linguagens .Net e arquiteturas de desenvolvimento web (ex: navegação: Html, Javascript, Flash, Java, etc).
• OWASP Bricks - Plataforma de aprendizado de segurança em aplicações web construída em PHP e MySQL
• OWASP Security Shepherd - OWASP Security Shepherd é uma plataforma de treinamento em segurança para aplicações web e móveis. Projetada para fomentar e aprimorar a conscientização em segurança entre diversos níveis de habilidade.
• PentesterLab - Facilitamos o aprendizado de hacking web!
• SecuriBench - Stanford SecuriBench é um conjunto de programas reais de código aberto usados como campo de testes para ferramentas de segurança estáticas e dinâmicas. A versão .91a foca em aplicações web escritas em Java.
• SentinelTestbed - Site vulnerável. Usado para testar recursos do sentinel.
• SocketToMe - Combina chat, um simples jogo de adivinhação de números e alguns outros recursos ocultos.
• sqli-labs - Laboratórios SQLI para testar técnicas baseadas em erro, booleano cego e baseadas em tempo.
• MCIR (Magical Code Injection Rainbow) - O Magical Code Injection Rainbow! MCIR é um framework para construir ambientes de teste de vulnerabilidades configuráveis. Também é uma coleção de ambientes de teste configuráveis.
• Sqlilabs - Ambiente de laboratório para aprender técnicas de SQL Injection
• VulnApp - Aplicação ASP.net implementando algumas das aplicações mais comuns encontradas em testes de penetração
• VulnLab - Laboratório de aplicações web vulneráveis usando Docker
• PuzzleMall - Aplicação web vulnerável para praticar manipulação de sessões
• WackoPicko - WackoPicko é uma aplicação web vulnerável usada para testar scanners de vulnerabilidade de aplicações web
• WebGoat.NET - Este aplicativo web é uma plataforma de aprendizado que busca ensinar sobre falhas comuns de segurança web. Possui falhas genéricas aplicáveis à maioria das aplicações web.
• OWASP WebGoat8 - OWASP WebGoat 8 é uma plataforma de aprendizado que busca ensinar sobre falhas comuns de segurança web. Possui falhas genéricas aplicáveis à maioria das aplicações web, é escrita em Java e é mantida ativamente.
• OWASP WrongSecrets - OWASP WrongSecrets é um aplicativo vulnerável que mostra como não armazenar segredos, ajudando a aprimorar suas habilidades de caça a segredos.
• WebSecurity Dojo - Ambiente de treinamento gratuito e de código aberto para testes de penetração em segurança de aplicações web. Ferramentas + Alvos = Dojo
• XVWA - XVWA é uma aplicação web mal escrita em PHP/MySQL que ajuda entusiastas de segurança a aprender sobre segurança de aplicações.
• Zap WAVE - Ferramenta integrada de teste de penetração fácil de usar para encontrar vulnerabilidades em aplicações web
• Web-Security Academy - Plataforma gratuita para aprender e testar suas habilidades em segurança de aplicações web com laboratórios práticos e materiais educacionais da Portswigger
• OWASP Juice Shop - Plataforma de código aberto para testar habilidades em segurança de aplicações web. A aplicação contém inúmeros desafios de hacking de variados níveis de dificuldade.
• tegal1337/0l4bs - Laboratórios de Cross-site scripting (XSS) para entusiastas de segurança de aplicações web
• tegal1337/br0w - Hack The Br0w. Jogue com seu navegador e aprenda mais, divirta-se hackeando!
• Pentest-Ground - Playground de pentest com várias aplicações web vulneráveis.
• Unguard - Aplicativo de demonstração de microsserviços nativos de nuvem inseguro para Kubernetes. Inclui serviços vulneráveis em Java, .NET, Node.js, Go e PHP, bancos de dados MariaDB e Redis, proxy Envoy e gerador de carga.
• Duck Store

Sites para Baixar Versões Antigas de Diversos Softwares

• Exploit-DB - O Banco de Dados de Exploits é mantido pela Offensive Security, uma empresa de treinamento em segurança da informação que oferece certificações e serviços avançados de pentest
• Old Apps - Oferece aos usuários uma grande variedade de versões atuais e anteriores de softwares conhecidos gratuitamente
• Old Version - Escolha um título de software... para voltar à versão que você ama!
• VirtualHacking Repo - Laboratório Virtual de Hacking
• All Version - PortableApps é a solução de software portátil mais popular do mundo, permitindo que você leve seus softwares favoritos com você

Sites de Fornecedores de Software de Teste de Segurança

• Acunetix acuforum - Um fórum deliberadamente vulnerável a injeções SQL, travessia de diretórios e outros ataques web
• Acunetix acublog - Um site de teste para Acunetix. É vulnerável a injeções SQL, Cross-site Scripting (XSS) e mais
• Acunetix acuart - Este é um exemplo de aplicação PHP, intencionalmente vulnerável a ataques web. Destina-se a ajudar você a testar o Acunetix
• Acunetix SecurityTweets - Site de teste HTML5 vulnerável para o Acunetix Web Vulnerability Scanner.
• Cenzic crackmebank - Este é um site de teste e demonstração
• Fortify Zero Bank - O site Free Online Bank é publicado pela Micro Focus Fortify com o único propósito de demonstrar a funcionalidade e eficácia dos produtos WebInspect da Micro Focus Fortify em detectar e relatar vulnerabilidades em aplicações web.
• Fortify IWA.NET (Insecure Web Application) Pharmacy Direct - Um exemplo de aplicação Microsoft.NET Core para uso em cenários e demonstrações DevSecOps. Inclui exemplos de código ruim e inseguro - que podem ser encontrados usando ferramentas de teste de segurança de aplicações estáticas e dinâmicas como as fornecidas pela OpenText.
• Fortify IWA.JAVA (Insecure Web Application) Pharmacy Direct - Um exemplo de aplicação Java/Spring para uso em cenários e demonstrações DevSecOps. Inclui exemplos de código ruim e inseguro - que podem ser encontrados usando ferramentas de teste de segurança de aplicações estáticas e dinâmicas como as fornecidas pela OpenText.
• IBM altoromutual - O site AltoroJ é publicado pela IBM Corporation com o único propósito de demonstrar a eficácia dos produtos IBM na detecção de vulnerabilidades e defeitos em sites
• Mavituna testsparker - Este é um site de teste e demonstração para o Netsparker
• Mavituna testsparker - Este é um site de teste e demonstração para o Netsparker, o scanner de segurança de aplicações web de próxima geração. Inicie o Netsparker para escanear este site e deixar que ele encontre as vulnerabilidades
• Mavituna testsparker - Este é um site de teste e demonstração para o Netsparker
• NTOSpider Test Site - Este site foi configurado para testar scanners automatizados de aplicações web como o AppSpider

Sites para Aprimorar Suas Habilidades de Hacking

• Blue Team Labs Online - Cyber Range - Plataforma gamificada para defensores praticarem suas habilidades em investigações de segurança e desafios de Incidente, Forense Digital, Operações de Segurança, Engenharia Reversa e Threat Hunting.
• Embedded Security CTF - Espalhadas pelo mundo em armazéns trancados estão maletas cheias de títulos Cy Yombinator que podem valer bilhões de dólares. Você ajudará a roubar as maletas
• EnigmaGroup - O Enigma Group oferece aos membros um recurso de segurança legal e seguro para desenvolver habilidades de pentest em vários desafios oferecidos pelo site
• Escape - O código gera HTML de forma insegura. Prove isso chamando alert(1)
• Google Gruyere - Este codelab mostra como vulnerabilidades em aplicações web podem ser exploradas e como se defender desses ataques
• Forensic Practical - Aperfeiçoe suas habilidades forenses e execute malwares encontrados em honeypots instalando-os em sistemas limpos e observe seu comportamento
• Gh0st Lab - A ideia original dessa rede era criar uma rede de pesquisa em segurança onde pessoas com interesses comuns pudessem trabalhar juntas pelo objetivo comum do conhecimento
• Hack The Box - Plataforma online que permite testar suas habilidades de pentest e trocar ideias e metodologias com milhares de pessoas da área de segurança
• TryHackMe - Treinamento em cibersegurança facilitado. Uma experiência confortável para aprender através de cursos pré-montados que incluem máquinas virtuais (VM) hospedadas na nuvem prontas para serem usadas
• Hack This Site - Hack This Site é um ambiente gratuito, seguro e legal para hackers testarem e expandirem suas habilidades
• HackThis - Defend the Web é uma plataforma interativa de cibersegurança
• HackQuest - Hospedagem anônima, servidores virtuais, e-mail seguro
• Hack.me - Hacking-Lab é um serviço da Security Competence GmbH, subsidiária suíça da Compass Security AG.

Compass Security é uma empresa europeia renomada, especializada em pentest, resposta a incidentes, forense digital e treinamentos de segurança

• Hacking-Lab - Hack.me é um projeto gratuito, baseado na comunidade, alimentado pela eLearnSecurity. A comunidade pode construir, hospedar e compartilhar código de aplicações web vulneráveis para fins educativos e de pesquisa
• Hacker Test - HackerTest.net é a sua própria simulação online de hacker. Essa nova simulação de vida real ajudará a aprimorar seu conhecimento em JavaScript, PHP, HTML e raciocínio gráfico
• Halls Of Valhalla - Valhalla é um local para compartilhar conhecimento e ideias. Usuários podem submeter código, bem como notícias e artigos de ciência, tecnologia e engenharia
• Hax.Tor - HaX.ToR.Hu é um site de desafios que enfatiza o ensino de questões de segurança básicas de forma divertida
• Metasploit Unleashed - O curso Metasploit Unleashed (MSFU) é fornecido gratuitamente pela Offensive Security para aumentar a conscientização de crianças carentes na África Oriental
• OverTheWire - Os wargames oferecidos pela comunidade OverTheWire podem ajudar você a aprender e praticar conceitos de segurança na forma de jogos divertidos
• PentestIT - Os laboratórios de teste de penetração "Test lab" emulam a infraestrutura de TI de empresas reais e são criados para testes de penetração legais e aprimoramento de habilidades
• CSC Play on Demand - O objetivo deste desafio é identificar as formas pelas quais um insider pode acidental ou maliciosamente vazar segredos organizacionais por meio de arquivos aparentemente inocentes
• Root Me - A maneira rápida, fácil e acessível de treinar suas habilidades em hacking
• Security Treasure Hunt - Um novo desafio de Análise de Vulnerabilidade Web baseado em Captura de Pacotes está disponível até 30 de abril de 2013, patrocinado pela Cyber Aces
• Smash The Stack - Rede de Wargaming
• SQLZoo - Explorar um ataque de Injeção SQL envolve resolver um quebra-cabeça que é uma mistura de Forca e 20 Perguntas. Exige um pouco de conhecimento de SQL e muita astúcia
• TheBlackSheep and Erik - Oferece centenas de desafios nas áreas de programação, JavaScript, PHP, Java, esteganografia, criptografia e outros
• ThisIsLegal - Um site de wargames hacker com muito mais, como fóruns e tutoriais
• Try2Hack - Este site oferece vários desafios orientados para segurança para seu entretenimento. É na verdade um dos sites de desafios mais antigos ainda ativos
• VulnHub - Uma coleção de hosts vulneráveis e desafios associados para ganhar experiência prática em cibersegurança.
• XSS: Can You XSS This? - Use HTMLSanitizer para proteger seus aplicativos Web
• XSS Game - Aprenda a encontrar e explorar bugs de XSS
• XSS: ProgPHP - Registro de Domínio de Próxima Geração. Progphp.com em breve!
• Pwnable.tw - Um conjunto mais recente de desafios pwnable de alta qualidade
• Pwnable.kr - Um dos conjuntos de desafios wargaming recentes mais populares
• PicoCTF - Projetado para estudantes do ensino médio, o evento normalmente é novo a cada ano, fica online e tem uma ótima progressão de dificuldade
• CTF Learn - Uma nova plataforma de aprendizado baseada em CTF com desafios contribuídos por usuários
• Reversing.kr - Este site testa sua habilidade em Cracking & Engenharia Reversa de Código
• w3challs - Nossos desafios abrangem vários subsetores do hacking, principalmente focados no ofensivo. Uma multidão de tecnologias e arquiteturas esperam por você. Mostre suas habilidades e pop algumas shells (ou calcs)!
• RingZer0 Team - O CTF online do RingZer0 Team oferece toneladas de desafios projetados para testar e melhorar suas habilidades de hacking através de desafios de hacking.
• HellBound Hackers - Abordagem prática para segurança de computadores e desafios de segurança simulados
• Komodo Consulting - Desafio de Segurança de Aplicações projetado para testar suas habilidades em hacking de aplicações
• Maxkersten Binary Analysis - Um curso prático de análise binária
• PwnAdventure - Pwnie Island é um MMORPG de mundo aberto, em primeira pessoa, de lançamento limitado, ambientado em uma bela ilha onde tudo pode acontecer. Isso porque o jogo é intencionalmente vulnerável a todo tipo de hacks divertidos! Voar, dinheiro infinito e mais estão a uma alteração de cliente ou proxy de rede de distância
• INE - Treinamento prático de TI online e certificações

Labs

• CTFd - CTFs do jeito que você precisa
• Mellivora - Mellivora é um motor de CTF escrito em PHP
• Metasploitable2 - Metasploitable é uma máquina virtual Linux intencionalmente vulnerável
• NightShade - Um framework simples de capture the flag.
• MCIR - O Magical Code Injection Rainbow! MCIR é um framework para construir ambientes de teste de vulnerabilidades configuráveis. MCIR também é uma coleção de ambientes de teste de vulnerabilidades configuráveis.
• Vagrant - Ambientes de desenvolvimento facilitados
• NETinVM - Uma ferramenta para ensinar e aprender sobre sistemas, redes e segurança
• SmartOS - SmartOS é um hipervisor SVR4 gratuito e de código aberto baseado no sistema operacional UNIX que combina tecnologia OpenSolaris com a virtualização KVM do Linux.
• SmartDataCenter - Joyent Triton DataCenter: uma plataforma de gerenciamento de nuvem com suporte de primeira classe para containers.
• vSphere Hypervisor - vSphere Hypervisor é um hipervisor bare-metal que virtualiza servidores, permitindo que você consolide aplicações enquanto economiza tempo e dinheiro ao gerenciar sua infraestrutura de TI.
• GNS3 - Construa, projete e teste sua rede em um ambiente virtual sem riscos e acesse a maior comunidade de redes para ajudar.
• OCCP - Uma plataforma gratuita, configurável e de código aberto de virtualização para educadores em cibersegurança e organizadores de eventos de desafios.
• XAMPP - XAMPP é uma distribuição Apache completamente gratuita e fácil de instalar, contendo MariaDB, PHP e Perl. O pacote open source XAMPP foi criado para ser incrivelmente fácil de instalar e usar.
• Kubernetes Goat - O Kubernetes Goat foi projetado para ser um ambiente de cluster intencionalmente vulnerável para aprender e praticar segurança em Kubernetes.
• Offensive Security - Pratique suas habilidades de pentest em um laboratório independente e privado -- com as adições de PG Play e PG Practice aos laboratórios de treinamento Proving Grounds da Offensive Security.
• Game of Hacks - Certo, este não é exatamente um aplicativo web vulnerável – mas é outra maneira envolvente de aprender a identificar vulnerabilidades de segurança em aplicativos, então decidimos incluí-lo
• Google Gruyere - Este site vulnerável ‘cheesy’ está cheio de falhas e é voltado para aqueles que estão começando a aprender sobre segurança de aplicações.
• Hellbound Hackers - Hellbound Hackers, a abordagem prática à segurança de computadores, oferece uma ampla variedade de desafios com o objetivo de ensinar como identificar exploits e sugerir o código para corrigir
• Peruggia - Peruggia é um ambiente seguro para profissionais de segurança e desenvolvedores aprenderem e testarem ataques comuns em aplicações web.
• oliverwiegers/pentest_lab - Laboratório de pentest local utilizando Docker Compose.
• Hacksplaining - Lições interativas para diversas vulnerabilidades web conhecidas.
• LabEx - Plataforma online para aprimorar suas habilidades em Linux, DevOps e Cibersegurança através de laboratórios práticos
• gRPC Goat - gRPC Goat é um laboratório "Vulnerável por Design" criado para fornecer um ambiente interativo e prático para aprender e praticar segurança em gRPC.
• SocengLab - SocEng Lab é uma plataforma open source de simulação adaptativa de engenharia social que traz rigor acadêmico ao treinamento de conscientização em segurança.

Aplicativos Móveis

• Allsafe - Allsafe é um aplicativo intencionalmente vulnerável que contém várias vulnerabilidades.
• Damn Vulnerable Android App (DVAA) - Damn Vulnerable Android App (DVAA) é um aplicativo Android que contém vulnerabilidades intencionais
• Damn Vulnerable FirefoxOS Application (DVFA) - Damn Vulnerable FirefoxOS Application - um aplicativo propositalmente vulnerável para demonstração
• Damn Vulnerable iOS App (DVIA) - Damn Vulnerable iOS App (DVIA) é um aplicativo iOS que é extremamente vulnerável
• ExploitMe Mobile Android Labs - O aplicativo Android inseguro para seu prazer de hackear
• ExploitMe Mobile iPhone Labs - Um aplicativo defeituoso para iPhone para seu prazer de hackear
• Hacme Bank Android - Ferramentas gratuitas da McAfee para ajudar na sua proteção de segurança.
• InsecureBank - Cyber Tales da Paladion
• NcN Wargame - No cON Name 2012 Desafios
• OWASP iGoat - O projeto OWASP iGoat é uma ferramenta de aprendizado de segurança para desenvolvedores iOS aprenderem sobre fraquezas de segurança no iOS -- quebrando coisas e também corrigindo-as.
• OWASP Goatdroid - OWASP GoatDroid é um ambiente de treinamento totalmente funcional e independente para educar desenvolvedores e testadores sobre segurança em Android
• OWASP MSTG Hacking Playground - Um conjunto de aplicativos móveis vulneráveis que você pode explorar usando técnicas do OWASP MSTG.
• OWASP MSTG Crackmes - Um conjunto de aplicativos móveis que ajudam a aprimorar suas habilidades de engenharia reversa com base no OWASP MSTG.

API

• OWASP crAPI - crAPI significa “Completely Ridiculous API”. Ele simula uma aplicação web baseada em microserviços e dirigida por API, que é uma plataforma para proprietários de veículos. O crAPI se especializa nas vulnerabilidades comuns que ocorrem em aplicações modernas baseadas em API, incluindo todas do OWASP Top 10 para APIs.
• VAmPI - VAmPI é uma API vulnerável feita com Flask e inclui vulnerabilidades do top 10 do OWASP para APIs.
• capital - Uma aplicação de API construída para ser vulnerável, baseada nas 10 principais vulnerabilidades de API do OWASP. Use o c{api}tal para aprender, treinar e explorar vulnerabilidades de segurança de API no seu próprio CTF de Segurança de API.
• dvws-node - Damn Vulnerable Web Services é uma aplicação vulnerável com um web service e uma API que pode ser usada para aprender sobre vulnerabilidades relacionadas a webservices/API.
• VulnerableLightApp - API vulnerável para fins educacionais

Contribuições são sempre bem-vindas

--- Tranlated By Open Ai Tx | Last indexed: 2026-01-12 ---