Awesome Vulnerable

Отобранный список УЯЗВИМЫХ ПРИЛОЖЕНИЙ и СИСТЕМ, которые можно использовать в качестве ПРАКТИЧЕСКОЙ ЛАБОРАТОРИИ ДЛЯ ТЕСТИРОВАНИЯ НА ПРОНИКНОВЕНИЕ. Этот список предназначен для помощи новичкам и профессионалам в проверке и совершенствовании своих навыков по тестированию на проникновение.

Содержание

• Уязвимые веб-приложения
• Сайты от поставщиков программ для тестирования безопасности
• Сайты для загрузки старых версий различного ПО
• Сайты для улучшения ваших навыков взлома
• Лаборатории
• Мобильные приложения

Уязвимые веб-приложения

• BadStore - Badstore.net посвящен обучению тому, как злоумышленники используют уязвимости веб-приложений, и показывает, как снизить риск. Демонстрационное ПО Badstore предназначено для демонстрации распространённых техник взлома.
• BodgeIt Store - BodgeIt Store — уязвимое веб-приложение, рассчитанное на новичков в пентестинге.
• Bug Bounty Hunter - BugBountyHunter — обучающая платформа, созданная багхантером zseano, чтобы помочь вам узнать о уязвимостях веб-приложений и начать работу.
• Butterfly Security Project - Проект ButterFly — это образовательная среда, предназначенная для ознакомления с распространёнными уязвимостями веб-приложений и PHP. Среда также содержит примеры того, как такие уязвимости устраняются.
• bWAPP - bee-box — это специальная Linux VM с предустановленным bWAPP.
• Vulert - Vulert защищает ПО, обнаруживая уязвимости в open-source зависимостях — без доступа к вашему коду. Поддерживает Js, PHP, Java, Python и др.
• CloudGoat - CloudGoat — инструмент Rhino Security Labs для развёртывания AWS "уязвимого по проекту"
• Commix - Набор веб-страниц, уязвимых к ошибкам внедрения команд.
• CryptOMG - CryptOMG — настраиваемый тестовый стенд в стиле CTF, показывающий распространённые ошибки в криптографических реализациях.
• CTFchallenge - CTFchallenge — это набор из 12 уязвимых веб-приложений, каждое со своей реалистичной инфраструктурой, построенной на нескольких поддоменах и содержащей уязвимости на основе баг-репортов, реального опыта или OWASP Top 10.
• Damn Vulnerable Cloud Application - Damn Vulnerable Cloud Application
• Damn Vulnerable Node Application(DVNA) - Damn Vulnerable NodeJS Application
• Damn Vulnerable Web App (DVWA) - Damn Vulnerablbe Web Application
• Damn Vulnerable Web Services (DVWS) -

Damn Vulnerable Web Services — это небезопасное веб-приложение с множеством уязвимых веб-сервисных компонентов, позволяющее изучить реальные уязвимости веб-сервисов.

• Firing Range - тестовый стенд, созданный Google для автоматизированных сканеров безопасности веб-приложений.
• Foundstone Hackme Bank - Бесплатные инструменты McAfee для повышения вашей защиты.
• Foundstone Hackme Books - Бесплатные инструменты McAfee для повышения вашей защиты.
• Foundstone Hackme Casino- Бесплатные инструменты McAfee для повышения вашей защиты.
• Foundstone Hackme Shipping - Бесплатные инструменты McAfee для повышения вашей защиты.
• Foundstone Hackme Travel - Бесплатные инструменты McAfee для повышения вашей защиты.
• GameOver - Проект GameOver был создан для обучения новичков основам веб-безопасности, распространённым атакам и пониманию их работы.
• hackxor - Hackxor — реалистичная игра по взлому веб-приложений, созданная для развития навыков игроков любого уровня. Все задания основаны на реальных уязвимостях, которые автор лично находил во время пентестов, багханта и исследований.
• Hackazon - Современное уязвимое веб-приложение
• LAMPSecurity - Тренинг LAMPSecurity представляет собой серию уязвимых образов виртуальных машин с сопроводительной документацией, предназначенной для обучения безопасности linux, apache, php, mysql.
• OWASP Mantra - Бесплатный и открытый браузерный фреймворк безопасности — это коллекция бесплатных и открытых инструментов, интегрированных в веб-браузер, полезных для пентестеров, разработчиков и специалистов по безопасности.
• NOWASP / Mutillidae 2 - OWASP Mutillidae II — это бесплатное, открытое, специально уязвимое веб-приложение, предоставляющее цель для энтузиастов веб-безопасности.
• OSS – OopsSec Store - Открытое, намеренно уязвимое приложение электронной коммерции на Next.js и React. Реалистичная CTF-платформа для изучения тестирования безопасности веб-приложений. Быстрая установка через npx create-oss-store.
• OWASP BWA - Коллекция уязвимых веб-приложений, распространяемых в виде виртуальной машины в формате VMware, совместимом с бесплатным VMware Player и VMware vSphere Hypervisor (ESXi), а также с их старыми и коммерческими продуктами.
• OWASP Hackademic - Проект, помогающий проверить ваши знания в области безопасности веб-приложений. Позволяет осуществлять реальные атаки в контролируемой и безопасной среде.
• OWASP SiteGenerator - OWASP SiteGenerator позволяет создавать динамические сайты на основе XML-файлов и предопределённых уязвимостей (простых и сложных), охватывающих .Net-языки и архитектуры веб-разработки (например, Html, Javascript, Flash, Java и др.).
• OWASP Bricks - Платформа для изучения безопасности веб-приложений на PHP и MySQL
• OWASP Security Shepherd - OWASP Security Shepherd — это платформа для обучения безопасности веб- и мобильных приложений, созданная для повышения осведомлённости о безопасности среди специалистов разного уровня.
• PentesterLab - Мы делаем обучение веб-хакерству проще!
• SecuriBench - Stanford SecuriBench — набор исходных реальных программ с открытым кодом для тестирования статических и динамических средств безопасности. Версия .91a ориентирована на веб-приложения на Java.
• SentinelTestbed - Уязвимый веб-сайт. Используется для тестирования возможностей Sentinel.
• SocketToMe - Совмещает чат, простую игру в угадывание чисел и несколько других скрытых функций.
• sqli-labs - Лаборатории SQLI для тестирования ошибок на основе ошибок, слепых булевых и временных уязвимостей.
• MCIR (Magical Code Injection Rainbow) - The Magical Code Injection Rainbow! MCIR — это фреймворк для создания настраиваемых тестовых стендов уязвимостей, а также коллекция таких стендов.
• Sqlilabs - Лабораторная установка для изучения техник SQL Injection
• VulnApp - ASP.net-приложение с реализацией наиболее часто встречающихся уязвимостей, которые мы видим при тестах на проникновение
• VulnLab - Лаборатория уязвимых веб-приложений на базе Docker
• PuzzleMall - Уязвимое веб-приложение для практики сессий и их атаки
• WackoPicko - WackoPicko — уязвимое веб-приложение для тестирования сканеров уязвимостей
• WebGoat.NET - Это обучающая платформа для изучения типичных уязвимостей веб-приложений. Содержит общие уязвимости, присущие большинству приложений.
• OWASP WebGoat8 - OWASP Webgoat 8 — обучающая платформа для изучения типовых уязвимостей веб-приложений. Содержит общие уязвимости, написана на Java и активно поддерживается.
• OWASP WrongSecrets - OWASP WrongSecrets — уязвимое приложение, показывающее, как нельзя хранить секреты, и помогающее улучшить навыки поиска секретов.
• WebSecurity Dojo - Бесплатная открытая автономная обучающая среда для тестирования на проникновение в области безопасности веб-приложений. Инструменты + цели = Dojo
• XVWA - XVWA — плохо написанное веб-приложение на PHP/MySQL для изучения безопасности приложений.
• Zap WAVE - Лёгкий в использовании комплексный инструмент для тестирования проникновения в веб-приложения.
• Web-Security Academy - Бесплатная платформа для изучения и тестирования навыков безопасности веб-приложений с практическими лабораториями и учебными материалами от Portswigger.
• OWASP Juice Shop - Открытая платформа для проверки навыков в области безопасности веб-приложений. Содержит множество взломных задач различной сложности.
• tegal1337/0l4bs - Лаборатории XSS для энтузиастов безопасности веб-приложений.
• tegal1337/br0w - Взломай Br0w. Играй в браузере, учись и веселись, взламывай!
• Pentest-Ground - Площадка для пентестов с несколькими уязвимыми веб-приложениями.
• Unguard - Небезопасное демо-приложение облачных микросервисов для Kubernetes. Включает уязвимые сервисы на Java, .NET, Node.js, Go и PHP, базы данных MariaDB и Redis, прокси Envoy и генератор нагрузки.
• Duck Store

Сайты для скачивания старых версий различного ПО

• Exploit-DB - База эксплойтов Exploit Database поддерживается Offensive Security — компанией, предоставляющей обучение и сертификацию по информационной безопасности, а также услуги по тестированию на проникновение.
• Old Apps - Предлагает широкий ассортимент актуальных и старых версий знакомого ПО, доступных бесплатно.
• Old Version - Выберите программу... чтобы вернуться к любимой версии!
• VirtualHacking Repo - Виртуальная лаборатория взлома
• All Version - PortableApps — самое популярное в мире решение для портативного программного обеспечения, позволяющее брать ваши любимые программы с собой

Сайты от производителей ПО для тестирования безопасности

• Acunetix acuforum - Форум, намеренно уязвимый для SQL-инъекций, обхода каталогов и других веб-атак
• Acunetix acublog - Тестовый сайт для Acunetix. Уязвим для SQL-инъекций, межсайтового скриптинга (XSS) и других атак
• Acunetix acuart - Пример PHP-приложения, преднамеренно уязвимого для веб-атак. Предназначен для тестирования Acunetix
• Acunetix SecurityTweets - Уязвимый HTML5 тестовый сайт для Acunetix Web Vulnerability Scanner.
• Cenzic crackmebank - Тестовый и демонстрационный сайт
• Fortify Zero Bank - Веб-сайт Free Online Bank опубликован компанией Micro Focus Fortify исключительно для демонстрации функциональности и эффективности продуктов WebInspect по выявлению и отчетности о уязвимостях веб-приложений.
• Fortify IWA.NET (Insecure Web Application) Pharmacy Direct - пример веб-приложения Microsoft.NET Core для использования в сценариях DevSecOps и демонстрациях. Содержит примеры плохого и небезопасного кода — их можно обнаружить с помощью инструментов статического и динамического тестирования безопасности, таких как решения от OpenText.
• Fortify IWA.JAVA (Insecure Web Application) Pharmacy Direct - пример веб-приложения Java/Spring для использования в сценариях DevSecOps и демонстрациях. Содержит примеры плохого и небезопасного кода — их можно обнаружить с помощью инструментов статического и динамического тестирования безопасности, таких как решения от OpenText.
• IBM altoromutual - Веб-сайт AltoroJ опубликован компанией IBM исключительно для демонстрации эффективности продуктов IBM по обнаружению уязвимостей веб-приложений и дефектов сайтов
• Mavituna testsparker - Тестовый и демонстрационный сайт для Netsparker
• Mavituna testsparker - Тестовый и демонстрационный сайт для Netsparker, сканера безопасности веб-приложений нового поколения. Запустите Netsparker для сканирования этого сайта и поиска уязвимостей
• Mavituna testsparker - Тестовый и демонстрационный сайт для Netsparker
• NTOSpider Test Site - Сайт создан для тестирования автоматизированных сканеров веб-приложений, таких как AppSpider

Сайты для улучшения ваших навыков взлома

• Blue Team Labs Online - Cyber Range - Геймифицированная платформа для защитников, чтобы практиковать свои навыки в расследованиях инцидентов и задачах по безопасности: реагирование на инциденты, цифровая криминалистика, операции по безопасности, реверс-инжиниринг и охота на угрозы.
• Embedded Security CTF - По всему миру в запертых складах спрятаны чемоданы с облигациями Cy Yombinator, стоимость которых может достигать миллиардов долларов. Ваша задача — украсть эти чемоданы
• EnigmaGroup - Enigma Group предоставляет своим участникам легальный и безопасный ресурс для развития навыков пентеста на различных задачах, предлагаемых этим сайтом
• Escape - Код генерирует HTML небезопасным способом. Докажите это, вызвав alert(1)
• Google Gruyere - Этот codelab показывает, как можно эксплуатировать уязвимости веб-приложений и защищаться от таких атак
• Forensic Practical - Для оттачивания навыков криминалистики и запуска вредоносного ПО, найденного на honeypot, установите его на чистую систему и наблюдайте за его поведением
• Gh0st Lab - Изначально сеть создавалась как исследовательская по безопасности, где единомышленники могут совместно работать для получения знаний
• Hack The Box - Онлайн-платформа, позволяющая проверить свои навыки пентеста и обмениваться идеями и методологиями с тысячами специалистов по безопасности
• TryHackMe - Обучение кибербезопасности стало проще. Удобный опыт обучения с помощью заранее подготовленных курсов, включающих виртуальные машины (VM), размещенные в облаке и готовые к запуску
• Hack This Site - Hack This Site — бесплатная, безопасная и легальная тренировочная площадка для хакеров, где они могут проверить и расширить свои навыки
• HackThis - Defend the Web — интерактивная платформа по кибербезопасности
• HackQuest - Анонимный веб-хостинг, виртуальные серверы, защищенная электронная почта
• Hack.me - Hacking-Lab — сервис от Security Competence GmbH, швейцарской дочерней компании Compass Security AG.

Compass Security — известная европейская компания, специализирующаяся на пентестах, реагировании на инциденты, цифровой криминалистике и обучении по безопасности

• Hacking-Lab - Hack.me — бесплатный проект на базе сообщества, поддерживаемый eLearnSecurity. Сообщество может создавать, размещать и делиться уязвимым кодом веб-приложений для образовательных и исследовательских целей
• Hacker Test - HackerTest.net — ваша собственная онлайн-симуляция хакера. Эта новая имитация реальной жизни поможет вам улучшить знания по JavaScript, PHP, HTML и графическому мышлению
• Halls Of Valhalla - Valhalla — место для обмена знаниями и идеями. Пользователи могут размещать код, а также новости и статьи по науке, технологиям и инженерии
• Hax.Tor - HaX.ToR.Hu — сайт с заданиями, акцентирующий внимание на обучении основам безопасности в игровой форме
• Metasploit Unleashed - Курс Metasploit Unleashed (MSFU) предоставляется бесплатно компанией Offensive Security для повышения осведомленности о нуждающихся детях в Восточной Африке
• OverTheWire - Виртуальные игры, предлагаемые сообществом OverTheWire, помогут вам изучить и практиковать концепции безопасности в виде увлекательных игр
• PentestIT - Лаборатории тестирования на проникновение "Test lab" имитируют ИТ-инфраструктуру реальных компаний и созданы для легального пентестинга и улучшения навыков тестирования на проникновение
• CSC Play on Demand - Цель этого задания — определить способы, которыми инсайдер может случайно или намеренно раскрыть секреты организации через, казалось бы, безобидные файлы
• Root Me - Быстрый, простой и доступный способ прокачать свои навыки взлома
• Security Treasure Hunt - Новый веб-челлендж на основе анализа захваченного трафика доступен до 30 апреля 2013 года при поддержке Cyber Aces
• Smash The Stack - Сеть виртуальных игр (wargaming)
• SQLZoo - Эксплуатация SQL-инъекции включает решение головоломки, сочетающей в себе "Виселицу" и "20 вопросов". Требует небольших знаний SQL и большой изобретательности
• TheBlackSheep and Erik - Предлагает сотни заданий в области программирования, JavaScript, PHP, Java, стеганографии, криптографии и других областях
• ThisIsLegal - Сайт виртуальных игр для хакеров с форумами и обучающими материалами
• Try2Hack - Сайт предлагает несколько заданий, ориентированных на безопасность, для вашего развлечения. Это один из старейших ресурсов с задачами, который до сих пор существует
• VulnHub - Коллекция уязвимых хостов и связанных с ними заданий для получения практического опыта в кибербезопасности.
• XSS: Can You XSS This? - Используйте HTMLSanitizer для защиты своих веб-приложений
• XSS Game - Научитесь искать и эксплуатировать XSS-уязвимости
• XSS: ProgPHP - Следующее поколение регистрации доменов. Progphp.com скоро будет доступен!
• Pwnable.tw - Новый набор качественных задач на эксплуатацию уязвимостей (pwnable)
• Pwnable.kr - Один из самых популярных новых наборов виртуальных заданий
• PicoCTF - Создано для школьников, мероприятие обычно обновляется ежегодно, но сайт доступен постоянно и предлагает плавное увеличение сложности
• CTF Learn - Новая обучающая платформа на основе CTF с заданиями от пользователей
• Reversing.kr - Этот сайт проверяет ваши способности в области взлома и реверс-инжиниринга кода
• w3challs - Наши задания охватывают различные аспекты хакерства, преимущественно в наступательной области. Вас ждёт множество технологий и архитектур. Покажите свои умения и взломайте пару шеллов (или калькуляторов)!
• RingZer0 Team - Онлайн-CTF от RingZer0 Team предлагает множество заданий, предназначенных для проверки и улучшения ваших хакерских навыков через задачи по взлому.
• HellBound Hackers - Практический подход к компьютерной безопасности и имитированные задания по безопасности
• Komodo Consulting - Задание по безопасности приложений, направленное на проверку ваших навыков взлома приложений
• Maxkersten Binary Analysis - Практический курс по анализу бинарных файлов
• PwnAdventure - Pwnie Island — это ограниченный выпуск, настоящая MMORPG от первого лица с открытым миром на красивом острове, где возможно всё. Игра специально уязвима для всевозможных забавных взломов! Полёты, бесконечные деньги и многое другое — всего лишь одна правка клиента или прокси в сети
• INE - Практическое онлайн-обучение и сертификация в области ИТ

Лаборатории

• CTFd - CTF так, как вам нужно
• Mellivora - Mellivora — движок CTF, написанный на PHP
• Metasploitable2 - Metasploitable — преднамеренно уязвимая виртуальная машина Linux
• NightShade - Простой фреймворк для capture the flag
• MCIR - The Magical Code Injection Rainbow! MCIR — фреймворк для создания настраиваемых тестовых стендов уязвимостей. MCIR также является коллекцией таких стендов.
• Vagrant - Удобные среды разработки
• NETinVM - Инструмент для обучения системам, сетям и безопасности
• SmartOS - SmartOS — бесплатный и открытый гипервизор SVR4 на базе UNIX, сочетающий технологии OpenSolaris с виртуализацией KVM от Linux.
• SmartDataCenter - Joyent Triton DataCenter: платформа управления облаком с поддержкой контейнеров первого класса.
• vSphere Hypervisor - vSphere Hypervisor — гипервизор уровня "bare-metal", виртуализирующий серверы, позволяя консолидировать приложения и экономить время и деньги на управлении ИТ-инфраструктурой.
• GNS3 - Стройте, проектируйте и тестируйте свои сети в безопасной виртуальной среде и присоединяйтесь к крупнейшему сетевому сообществу для получения поддержки.
• OCCP - Бесплатная, настраиваемая, открытая платформа виртуализации для преподавателей кибербезопасности и организаторов событий с заданиями.
• XAMPP - XAMPP — это полностью бесплатный, легкий в установке дистрибутив Apache, содержащий MariaDB, PHP и Perl. Открытый пакет XAMPP создан так, чтобы его было невероятно просто установить и использовать.
• Kubernetes Goat - Kubernetes Goat — это преднамеренно уязвимая среда для изучения и практики безопасности Kubernetes.
• Offensive Security - Практикуйте свои навыки пентестинга в автономной, приватной лаборатории — теперь с PG Play и PG Practice в обучающих лабораториях Offensive Security’s Proving Grounds.
• Game of Hacks - Это не совсем уязвимое веб-приложение — но это ещё один увлекательный способ научиться выявлять уязвимости в безопасности приложений, поэтому мы решили его добавить.
• Google Gruyere - Этот «сырный» уязвимый сайт полон дыр и предназначен для тех, кто только начинает изучать безопасность приложений.
• Hellbound Hackers - Hellbound Hackers — практический подход к компьютерной безопасности, предлагает множество заданий с целью научить выявлять эксплойты и предлагать код для их устранения.
• Peruggia - Peruggia — безопасная среда для специалистов по безопасности и разработчиков для изучения и тестирования распространённых атак на веб-приложения.
• oliverwiegers/pentest_lab - Локальная лаборатория для пентеста на основе Docker Compose.
• Hacksplaining - Интерактивные уроки по ряду известных уязвимостей веб-приложений.
• LabEx - Онлайн-платформа для улучшения ваших навыков Linux, DevOps и кибербезопасности через практические лаборатории.
• gRPC Goat - gRPC Goat — это лаборатория «Уязвим по дизайну», созданная для интерактивного, практического обучения и практики безопасности gRPC.
• SocengLab - SocEng Lab — это открытая платформа для имитации социальной инженерии, которая придаёт академическую строгость обучению безопасности.

Мобильные приложения

• Allsafe - Allsafe — это преднамеренно уязвимое приложение, содержащее различные уязвимости.
• Damn Vulnerable Android App (DVAA) - Damn Vulnerable Android App (DVAA) — это Android-приложение с преднамеренными уязвимостями.
• Damn Vulnerable FirefoxOS Application (DVFA) - Damn Vulnerable FirefoxOS Application — намеренно уязвимое приложение для демонстрации.
• Damn Vulnerable iOS App (DVIA) - Damn Vulnerable iOS App (DVIA) — это крайне уязвимое приложение для iOS.
• ExploitMe Mobile Android Labs - Небезопасное Android-приложение для вашего удовольствия от взлома.
• ExploitMe Mobile iPhone Labs - Дефектное приложение для iPhone для вашего удовольствия от взлома.
• Hacme Bank Android - Бесплатные инструменты McAfee для вашей защиты.
• InsecureBank - Cyber Tales от компании Paladion.
• NcN Wargame - No cON Name 2012 Challenges.
• OWASP iGoat - Проект OWASP iGoat — инструмент для обучения безопасности iOS-разработчиков через выявление и исправление уязвимостей.
• OWASP Goatdroid - OWASP GoatDroid — полностью функциональная и автономная учебная среда для обучения разработчиков и тестировщиков безопасности Android.
• OWASP MSTG Hacking Playground - Набор уязвимых мобильных приложений, уязвимости которых вы можете эксплуатировать по методикам OWASP MSTG.
• OWASP MSTG Crackmes - Набор мобильных приложений для совершенствования навыков реверс-инжиниринга на основе OWASP MSTG.

API

• OWASP crAPI - crAPI означает «Completely Ridiculous API». Это имитация веб-приложения, основанного на API и микросервисах, представляющего платформу для владельцев автомобилей. crAPI специализируется на распространённых уязвимостях современных API-приложений, включая все из OWASP Top 10 для API.
• VAmPI - VAmPI — уязвимый API, реализованный на Flask, включает в себя уязвимости из топ-10 OWASP для API.
• capital - Преднамеренно уязвимое API-приложение на основе топ-10 уязвимостей API OWASP. Используйте c{api}tal для обучения, тренировки и эксплуатации уязвимостей API в собственном CTF по безопасности API.
• dvws-node - Damn Vulnerable Web Services — уязвимое приложение с веб-сервисом и API для изучения уязвимостей, связанных с webservices/API.
• VulnerableLightApp - Уязвимый API для образовательных целей.

Вклад всегда приветствуется

--- Tranlated By Open Ai Tx | Last indexed: 2026-01-12 ---