Awesome Vulnerable

Danh sách tổng hợp các ỨNG DỤNG và HỆ THỐNG DỄ TỔN THƯƠNG có thể được sử dụng làm PHÒNG THÍ NGHIỆM THỰC HÀNH KIỂM THỬ XÂM NHẬP. Danh sách này nhằm giúp người mới bắt đầu cũng như chuyên gia kiểm tra và nâng cao kỹ năng kiểm thử xâm nhập của mình.

Mục lục

• Ứng dụng web dễ tổn thương
• Trang web của các nhà cung cấp phần mềm kiểm thử bảo mật
• Trang web tải các phiên bản cũ của phần mềm
• Trang web cải thiện kỹ năng hack của bạn
• Phòng thí nghiệm
• Ứng dụng di động

Ứng dụng web dễ tổn thương

• BadStore - Badstore.net giúp bạn hiểu cách hacker lợi dụng lỗ hổng ứng dụng web và chỉ ra cách giảm thiểu rủi ro. Phần mềm demo Badstore được thiết kế để chỉ ra các kỹ thuật hack phổ biến.
• BodgeIt Store - BodgeIt Store là ứng dụng web dễ tổn thương dành cho người mới bắt đầu kiểm thử xâm nhập.
• Bug Bounty Hunter - BugBountyHunter là nền tảng đào tạo do zseano tạo ra nhằm giúp bạn học về lỗ hổng ứng dụng web và cách bắt đầu.
• Butterfly Security Project - Dự án ButterFly là môi trường giáo dục giúp hiểu rõ các lỗ hổng phổ biến trong ứng dụng web và PHP, cũng như các ví dụ về cách khắc phục.
• bWAPP - bee-box là máy ảo Linux tùy chỉnh cài sẵn bWAPP.
• Vulert - Vulert bảo vệ phần mềm bằng cách phát hiện lỗ hổng trong các thư viện mã nguồn mở—không cần truy cập mã của bạn. Hỗ trợ Js, PHP, Java, Python, và nhiều hơn nữa.
• CloudGoat - CloudGoat là công cụ triển khai AWS "Thiết kế dễ tổn thương" của Rhino Security Labs
• Commix - Bộ sưu tập các trang web dễ bị lỗi tiêm lệnh.
• CryptOMG - CryptOMG là môi trường kiểm thử CTF có thể cấu hình, làm nổi bật các lỗi phổ biến trong triển khai mật mã.
• CTFchallenge - CTFchallenge là bộ sưu tập 12 ứng dụng web dễ tổn thương, mỗi ứng dụng có hạ tầng thực tế riêng với nhiều miền phụ và lỗ hổng dựa trên báo cáo lỗi, kinh nghiệm thực tế hoặc các lỗ hổng trong OWASP Top 10.
• Damn Vulnerable Cloud Application - Ứng dụng đám mây dễ tổn thương
• Damn Vulnerable Node Application(DVNA) - Ứng dụng NodeJS dễ tổn thương
• Damn Vulnerable Web App (DVWA) - Ứng dụng web dễ tổn thương
• Damn Vulnerable Web Services (DVWS) -

DVWS là ứng dụng web không an toàn với nhiều thành phần dịch vụ web dễ tổn thương giúp học về lỗ hổng dịch vụ web thực tế.

• Firing Range - môi trường kiểm thử do Google tạo cho các trình quét bảo mật ứng dụng web tự động.
• Foundstone Hackme Bank - Công cụ miễn phí của McAfee hỗ trợ bảo vệ an ninh.
• Foundstone Hackme Books - Công cụ miễn phí của McAfee hỗ trợ bảo vệ an ninh.
• Foundstone Hackme Casino- Công cụ miễn phí của McAfee hỗ trợ bảo vệ an ninh.
• Foundstone Hackme Shipping - Công cụ miễn phí của McAfee hỗ trợ bảo vệ an ninh.
• Foundstone Hackme Travel - Công cụ miễn phí của McAfee hỗ trợ bảo vệ an ninh.
• GameOver - Dự án GameOver nhằm đào tạo và giáo dục người mới về cơ bản của bảo mật web, các kiểu tấn công phổ biến và cách chúng hoạt động.
• hackxor - Hackxor là game hack ứng dụng web thực tế, giúp người chơi mọi trình độ phát triển kỹ năng. Các nhiệm vụ đều dựa trên các lỗ hổng thực tế mà tôi từng phát hiện khi kiểm thử, săn bug bounty và nghiên cứu.
• Hackazon - Một ứng dụng web hiện đại chứa lỗ hổng bảo mật
• LAMPSecurity - Đào tạo LAMPSecurity được thiết kế là một loạt hình ảnh máy ảo chứa lỗ hổng cùng tài liệu bổ trợ nhằm dạy về bảo mật linux, apache, php, mysql.
• OWASP Mantra - Framework bảo mật dựa trên trình duyệt, miễn phí và mã nguồn mở, là tập hợp các công cụ mã nguồn mở tích hợp vào trình duyệt web, hữu ích cho kiểm thử xâm nhập, phát triển ứng dụng web, chuyên gia bảo mật, v.v.
• NOWASP / Mutillidae 2 - OWASP Mutillidae II là ứng dụng web mã nguồn mở, miễn phí, có lỗ hổng bảo mật cố ý, cung cấp mục tiêu cho người đam mê bảo mật web.
• OSS – OopsSec Store - Ứng dụng thương mại điện tử mã nguồn mở, cố ý chứa lỗ hổng, xây dựng bằng Next.js và React. Cung cấp nền tảng CTF thực tế để học kiểm thử bảo mật ứng dụng web. Thiết lập nhanh với npx create-oss-store.
• OWASP BWA - Bộ sưu tập ứng dụng web chứa lỗ hổng được phân phối dưới dạng máy ảo định dạng VMware, tương thích với các sản phẩm VMware Player và VMware vSphere Hypervisor (ESXi) miễn phí (cùng các sản phẩm thương mại và cũ).
• OWASP Hackademic - Dự án giúp kiểm tra kiến thức bảo mật ứng dụng web. Bạn có thể dùng để tấn công ứng dụng web trong môi trường thực tế nhưng kiểm soát và an toàn.
• OWASP SiteGenerator - OWASP SiteGenerator cho phép tạo các website động dựa trên file XML và các lỗ hổng định trước (từ đơn giản đến phức tạp) bao gồm các ngôn ngữ .Net và kiến trúc phát triển web (ví dụ: Html, Javascript, Flash, Java, v.v.).
• OWASP Bricks - Nền tảng học bảo mật ứng dụng web xây dựng trên PHP và MySQL
• OWASP Security Shepherd - OWASP Security Shepherd là nền tảng đào tạo bảo mật ứng dụng web và di động. Được thiết kế để nâng cao nhận thức bảo mật cho nhiều đối tượng kỹ năng khác nhau
• PentesterLab - Chúng tôi giúp việc học hack web trở nên dễ dàng hơn!
• SecuriBench - Stanford SecuriBench là tập hợp chương trình thực tế mã nguồn mở dùng làm môi trường kiểm thử cho các công cụ bảo mật tĩnh và động. Bản .91a tập trung vào ứng dụng web viết bằng Java.
• SentinelTestbed - Trang web chứa lỗ hổng. Dùng để kiểm thử tính năng của sentinel.
• SocketToMe - Kết hợp chat, trò chơi đoán số đơn giản và một vài tính năng ẩn khác
• sqli-labs - Phòng lab SQLI để kiểm thử lỗi dựa trên lỗi, boolean mù, dựa trên thời gian.
• MCIR (Magical Code Injection Rainbow) - Magical Code Injection Rainbow! MCIR là framework xây dựng môi trường kiểm thử lỗ hổng có thể cấu hình. MCIR còn là bộ sưu tập các môi trường kiểm thử lỗ hổng có thể cấu hình
• Sqlilabs - Thiết lập phòng lab để học kỹ thuật SQL Injection
• VulnApp - Ứng dụng ASP.net triển khai một số ứng dụng phổ biến thường gặp khi kiểm thử xâm nhập
• VulnLab - Phòng lab ứng dụng web chứa lỗ hổng sử dụng Docker
• PuzzleMall - Ứng dụng web chứa lỗ hổng để thực hành session puzzling
• WackoPicko - WackoPicko là ứng dụng web chứa lỗ hổng dùng để kiểm thử các công cụ quét lỗ hổng ứng dụng web
• WebGoat.NET - Ứng dụng web này là nền tảng học tập nhằm dạy về các lỗ hổng bảo mật web phổ biến. Chứa các lỗi bảo mật chung áp dụng cho hầu hết ứng dụng web
• OWASP WebGoat8 - OWASP Webgoat 8 là nền tảng học tập dạy về các lỗ hổng bảo mật web phổ biến. Chứa các lỗi bảo mật chung áp dụng cho đa số ứng dụng web, viết bằng Java và được duy trì tích cực.
• OWASP WrongSecrets - OWASP WrongSecrets là ứng dụng chứa lỗ hổng nhằm chỉ ra cách không nên lưu trữ bí mật, giúp bạn cải thiện kỹ năng săn tìm bí mật.
• WebSecurity Dojo - Môi trường đào tạo tự chứa miễn phí và mã nguồn mở cho kiểm thử xâm nhập bảo mật ứng dụng web. Công cụ + Mục tiêu = Dojo
• XVWA - XVWA là ứng dụng web mã nguồn mở, viết bằng PHP/MySQL, giúp người đam mê bảo mật học về bảo mật ứng dụng.
• Zap WAVE - Công cụ kiểm thử xâm nhập tích hợp, dễ sử dụng để tìm lỗ hổng trong ứng dụng web
• Web-Security Academy - Nền tảng miễn phí để học và kiểm thử kỹ năng bảo mật ứng dụng web với phòng lab thực hành và tài liệu học tập của Portswigger
• OWASP Juice Shop - Nền tảng mã nguồn mở để kiểm thử kỹ năng bảo mật ứng dụng web. Ứng dụng chứa rất nhiều thử thách hack với mức độ khó khác nhau
• tegal1337/0l4bs - Phòng lab cross-site scripting (XSS) dành cho người đam mê bảo mật ứng dụng web
• tegal1337/br0w - Hack Trình duyệt Br0w. Chơi với trình duyệt và học thêm, hack vui vẻ!
• Pentest-Ground - Sân chơi pentest với nhiều ứng dụng web chứa lỗ hổng.
• Unguard - Ứng dụng demo microservices cloud-native không bảo mật cho Kubernetes. Unguard bao gồm các dịch vụ Java, .NET, Node.js, Go, PHP có lỗ hổng, các cơ sở dữ liệu MariaDB và Redis, proxy Envoy và bộ sinh tải.
• Duck Store

Trang tải phiên bản cũ của nhiều phần mềm khác nhau

• Exploit-DB - Cơ sở dữ liệu Exploit được duy trì bởi Offensive Security, công ty đào tạo bảo mật thông tin cung cấp các chứng chỉ bảo mật cũng như dịch vụ kiểm thử xâm nhập cao cấp
• Old Apps - Cung cấp cho người dùng nhiều phiên bản hiện tại và các phiên bản trước của phần mềm quen thuộc miễn phí
• Old Version - Chọn tiêu đề phần mềm... để hạ cấp xuống phiên bản bạn yêu thích!
• VirtualHacking Repo - Phòng thí nghiệm Hacking Ảo
• All Version - PortableApps là giải pháp phần mềm di động phổ biến nhất thế giới cho phép bạn mang theo phần mềm yêu thích của mình

Các trang web của nhà cung cấp phần mềm kiểm thử bảo mật

• Acunetix acuforum - Diễn đàn có chủ đích dễ bị tấn công SQL Injection, truy xuất thư mục và các cuộc tấn công web khác
• Acunetix acublog - Trang thử nghiệm cho Acunetix. Dễ bị tấn công SQL Injection, Cross-site Scripting (XSS) và nhiều hơn nữa
• Acunetix acuart - Đây là một ứng dụng PHP ví dụ, được thiết kế dễ bị tấn công web. Dùng để thử nghiệm Acunetix
• Acunetix SecurityTweets - Trang web HTML5 dễ bị tấn công để kiểm tra Acunetix Web Vulnerability Scanner.
• Cenzic crackmebank - Đây là trang thử nghiệm và trình diễn
• Fortify Zero Bank - Trang web Ngân hàng Trực tuyến Miễn phí được phát hành bởi Micro Focus Fortify chỉ nhằm mục đích trình diễn chức năng và hiệu quả của sản phẩm WebInspect trong việc phát hiện và báo cáo lỗ hổng ứng dụng web.
• Fortify IWA.NET (Insecure Web Application) Pharmacy Direct - Một ứng dụng web Microsoft.NET Core ví dụ dùng cho các tình huống DevSecOps và trình diễn. Bao gồm một số ví dụ về mã xấu và không an toàn - có thể tìm thấy bằng các công cụ kiểm thử bảo mật tĩnh và động như OpenText.
• Fortify IWA.JAVA (Insecure Web Application) Pharmacy Direct - Một ứng dụng web Java/Spring ví dụ dùng cho các tình huống DevSecOps và trình diễn. Bao gồm một số ví dụ về mã xấu và không an toàn - có thể tìm thấy bằng các công cụ kiểm thử bảo mật tĩnh và động như OpenText.
• IBM altoromutual - Trang web AltoroJ được IBM Corporation phát hành chỉ nhằm mục đích trình diễn hiệu quả của sản phẩm IBM trong phát hiện lỗ hổng ứng dụng web và lỗi trang web
• Mavituna testsparker - Đây là trang thử nghiệm và trình diễn cho Netsparker
• Mavituna testsparker - Đây là trang thử nghiệm và trình diễn cho Netsparker, công cụ quét bảo mật ứng dụng web thế hệ mới. Khởi động Netsparker để quét trang này và phát hiện lỗ hổng
• Mavituna testsparker - Đây là trang thử nghiệm và trình diễn cho Netsparker
• NTOSpider Test Site - Trang này được thiết lập để kiểm tra các công cụ quét ứng dụng web tự động như AppSpider

Các trang web giúp nâng cao kỹ năng hacking

• Blue Team Labs Online - Cyber Range - Nền tảng game hóa cho các chuyên gia phòng thủ thực hành kỹ năng điều tra bảo mật và các thử thách như Phản ứng sự cố, Pháp y số, Vận hành bảo mật, Kỹ thuật đảo ngược và Săn tìm mối đe dọa.
• Embedded Security CTF - Trải khắp thế giới trong các kho bị khóa là những chiếc vali chứa trái phiếu Cy Yombinator trị giá hàng tỷ đô la. Bạn sẽ giúp đánh cắp các vali này
• EnigmaGroup - Enigma Group cung cấp cho thành viên nguồn tài nguyên bảo mật hợp pháp và an toàn để phát triển kỹ năng kiểm thử xâm nhập với nhiều thử thách trên trang
• Escape - Mã tạo ra HTML theo cách không an toàn. Hãy chứng minh bằng cách gọi alert(1)
• Google Gruyere - Codelab này chỉ ra cách khai thác lỗ hổng ứng dụng web và cách phòng thủ chống lại các cuộc tấn công này
• Forensic Practical - Rèn luyện kỹ năng pháp y và chạy mã độc tìm thấy trên honeypots bằng cách cài đặt lên hệ thống sạch và theo dõi hành vi của nó
• Gh0st Lab - Ý tưởng ban đầu của mạng này là tạo ra một mạng nghiên cứu bảo mật nơi các cá nhân cùng chí hướng hợp tác vì mục tiêu chung là tri thức
• Hack The Box - Nền tảng trực tuyến cho phép bạn kiểm tra kỹ năng kiểm thử xâm nhập và trao đổi ý tưởng, phương pháp với hàng ngàn người trong lĩnh vực bảo mật
• TryHackMe - Đào tạo An ninh mạng dễ dàng hơn. Trải nghiệm học tập thoải mái với các khóa học dựng sẵn, bao gồm máy ảo (VM) lưu trữ trên cloud sẵn sàng triển khai
• Hack This Site - Hack This Site là sân tập miễn phí, an toàn và hợp pháp cho hacker kiểm tra và mở rộng kỹ năng
• HackThis - Defend the Web là nền tảng tương tác về An ninh mạng
• HackQuest - Webhosting ẩn danh, máy chủ ảo, email bảo mật
• Hack.me - Hacking-Lab là dịch vụ của Security Competence GmbH, công ty con Thụy Sĩ của Compass Security AG.

Compass Security là công ty châu Âu nổi tiếng chuyên kiểm thử xâm nhập, phản ứng sự cố, pháp y số và đào tạo bảo mật

• Hacking-Lab - Hack.me là dự án MIỄN PHÍ dựa vào cộng đồng do eLearnSecurity cung cấp. Cộng đồng có thể xây dựng, lưu trữ và chia sẻ mã ứng dụng web có lỗ hổng cho mục đích giáo dục và nghiên cứu
• Hacker Test - HackerTest.net là mô phỏng hacker trực tuyến của riêng bạn. Mô phỏng thực tế này sẽ giúp bạn nâng cao kiến thức bảo mật về JavaScript, PHP, HTML và tư duy đồ họa
• Halls Of Valhalla - Valhalla là nơi chia sẻ tri thức và ý tưởng. Người dùng có thể gửi mã nguồn, cũng như tin tức và bài viết về khoa học, công nghệ, kỹ thuật
• Hax.Tor - HaX.ToR.Hu là trang thử thách chú trọng giảng dạy các vấn đề bảo mật cơ bản theo cách vui nhộn
• Metasploit Unleashed - Khóa học Metasploit Unleashed (MSFU) được Offensive Security cung cấp miễn phí nhằm nâng cao nhận thức cho trẻ em nghèo ở Đông Phi
• OverTheWire - Các trò chơi wargames do cộng đồng OverTheWire cung cấp sẽ giúp bạn học và thực hành các khái niệm bảo mật dưới dạng những trò chơi thú vị
• PentestIT - Phòng thí nghiệm kiểm thử xâm nhập "Test lab" mô phỏng hạ tầng CNTT của các công ty thực và được tạo ra cho kiểm thử xâm nhập hợp pháp, nâng cao kỹ năng kiểm thử xâm nhập
• CSC Play on Demand - Mục tiêu của thử thách này là xác định cách mà một người nội bộ có thể vô tình hoặc cố ý rò rỉ bí mật tổ chức qua các tập tin tưởng chừng vô hại
• Root Me - Cách nhanh chóng, dễ dàng, tiết kiệm để rèn luyện kỹ năng hack của bạn
• Security Treasure Hunt - Một thử thách Phân tích Lỗ hổng Web dựa trên Bắt gói tin mới có sẵn đến ngày 30 tháng 4 năm 2013, được tài trợ bởi Cyber Aces
• Smash The Stack - Mạng lưới Wargaming
• SQLZoo - Khai thác một cuộc tấn công SQL Inject liên quan đến giải một câu đố pha trộn giữa trò chơi Hangman và 20 Questions. Cần chút kiến thức về SQL và rất nhiều sự mưu mẹo
• TheBlackSheep và Erik - Cung cấp hàng trăm thử thách về lập trình, JavaScript, PHP, Java, steganography, mật mã và nhiều lĩnh vực khác
• ThisIsLegal - Một trang wargames hack với nhiều nội dung như diễn đàn và hướng dẫn
• Try2Hack - Trang web này cung cấp nhiều thử thách về bảo mật cho bạn giải trí. Đây thực sự là một trong những trang thử thách lâu đời nhất vẫn còn tồn tại
• VulnHub - Bộ sưu tập các máy chủ dễ bị tấn công và các thử thách liên quan giúp bạn trải nghiệm thực hành an ninh mạng.
• XSS: Can You XSS This? - Sử dụng HTMLSanitizer để bảo vệ ứng dụng Web của bạn
• XSS Game - Học cách tìm và khai thác lỗi XSS
• XSS: ProgPHP - Đăng ký tên miền thế hệ mới. Progphp.com sẽ ra mắt sớm!
• Pwnable.tw - Bộ thử thách pwnable chất lượng cao mới hơn
• Pwnable.kr - Một trong những bộ thử thách wargaming phổ biến gần đây
• PicoCTF - Thiết kế cho học sinh trung học, sự kiện thường có mỗi năm mới, được duy trì trực tuyến và có lộ trình độ khó rất tốt
• CTF Learn - Nền tảng học CTF mới với thử thách do người dùng đóng góp
• Reversing.kr - Trang web này kiểm tra khả năng Crack & Reverse Code Engineering của bạn
• w3challs - Các thử thách của chúng tôi hướng đến nhiều mảng hacking, chủ yếu theo hướng tấn công. Nhiều công nghệ và kiến trúc đang chờ bạn. Hãy thể hiện kỹ năng điên rồ và "pop shell" nào!
• RingZer0 Team - CTF trực tuyến của RingZer0 Team cung cấp vô số thử thách để kiểm tra và cải thiện kỹ năng hack thông qua các thử thách hacking.
• HellBound Hackers - Phương pháp thực hành bảo mật máy tính và các thử thách bảo mật mô phỏng
• Komodo Consulting - Thử thách bảo mật ứng dụng nhằm kiểm tra kỹ năng hack ứng dụng của bạn
• Maxkersten Binary Analysis - Khóa học phân tích nhị phân thực tế
• PwnAdventure - Pwnie Island là game MMORPG thế giới mở góc nhìn thứ nhất, giới hạn phát hành, đặt trên một hòn đảo tuyệt đẹp nơi mọi thứ đều có thể xảy ra. Vì game này cố tình có nhiều lỗ hổng để hack ngớ ngẩn! Bay, tiền bất tận và nhiều hơn nữa chỉ cách bạn một lần chỉnh sửa client hoặc proxy mạng
• INE - Đào tạo và chứng chỉ CNTT thực hành trực tuyến

Labs

• CTFd - CTF theo nhu cầu của bạn
• Mellivora - Mellivora là engine CTF viết bằng PHP
• Metasploitable2 - Metasploitable là máy ảo Linux cố tình có lỗ hổng bảo mật
• NightShade - Khung đơn giản cho trò chơi capture the flag.
• MCIR - Magical Code Injection Rainbow! MCIR là framework xây dựng các môi trường kiểm thử lỗ hổng cấu hình. MCIR cũng là bộ sưu tập môi trường kiểm thử lỗ hổng cấu hình.
• Vagrant - Môi trường phát triển dễ dàng
• NETinVM - Công cụ giảng dạy và học tập về hệ thống, mạng và bảo mật
• SmartOS - SmartOS là hypervisor SVR4 miễn phí, mã nguồn mở dựa trên hệ điều hành UNIX, kết hợp công nghệ OpenSolaris với ảo hóa KVM của Linux.
• SmartDataCenter - Joyent Triton DataCenter: nền tảng quản lý đám mây hỗ trợ ưu việt cho container.
• vSphere Hypervisor - vSphere Hypervisor là hypervisor bare-metal giúp ảo hóa máy chủ; cho phép bạn hợp nhất ứng dụng, tiết kiệm thời gian và chi phí quản lý hạ tầng CNTT.
• GNS3 - Xây dựng, thiết kế và kiểm thử mạng của bạn trong môi trường ảo an toàn, đồng thời tiếp cận cộng đồng mạng lớn nhất để hỗ trợ.
• OCCP - Nền tảng ảo hóa mã nguồn mở, miễn phí, có thể cấu hình cho các nhà giáo dục an ninh mạng và điều phối sự kiện thử thách.
• XAMPP - XAMPP là một bản phân phối Apache hoàn toàn miễn phí, dễ dàng cài đặt, bao gồm MariaDB, PHP và Perl. Gói mã nguồn mở XAMPP được thiết lập để cực kỳ dễ cài đặt và sử dụng.
• Kubernetes Goat - Kubernetes Goat được thiết kế là một môi trường cụm có chủ ý tồn tại lỗ hổng để học và thực hành bảo mật Kubernetes.
• Offensive Security - Rèn luyện kỹ năng pentest của bạn trong một phòng lab độc lập, riêng tư — với sự bổ sung của PG Play và PG Practice vào các phòng lab đào tạo Proving Grounds của Offensive Security.
• Game of Hacks - Đúng vậy, cái này không hẳn là một ứng dụng web dễ bị tấn công – nhưng đây là một cách thú vị khác để học cách phát hiện các lỗ hổng bảo mật ứng dụng, nên chúng tôi đưa vào
• Google Gruyere - Trang web ‘ngớ ngẩn’ này đầy lỗ hổng và nhắm tới những người mới bắt đầu học bảo mật ứng dụng.
• Hellbound Hackers - Hellbound Hackers, cách tiếp cận thực hành về bảo mật máy tính, cung cấp đa dạng thử thách nhằm dạy cách nhận diện khai thác và gợi ý mã vá lỗi
• Peruggia - Peruggia là môi trường an toàn cho các chuyên gia bảo mật và lập trình viên học và kiểm thử các tấn công phổ biến vào ứng dụng web.
• oliverwiegers/pentest_lab - Phòng lab pentest cục bộ sử dụng Docker Compose.
• Hacksplaining - Các bài học tương tác về nhiều lỗ hổng web nổi tiếng.
• LabEx - Nền tảng trực tuyến giúp nâng cao kỹ năng Linux, DevOps, và An ninh mạng thông qua các phòng lab thực hành
• gRPC Goat - gRPC Goat là một phòng lab “Cố ý dễ bị tấn công” được tạo ra để cung cấp sân chơi tương tác, thực hành cho việc học và luyện tập bảo mật gRPC.
• SocengLab - SocEng Lab là nền tảng mô phỏng tấn công xã hội thích ứng mã nguồn mở, mang lại tính học thuật cho đào tạo nâng cao nhận thức bảo mật.

Ứng dụng di động

• Allsafe - Allsafe là ứng dụng cố ý tồn tại nhiều lỗ hổng bảo mật khác nhau.
• Damn Vulnerable Android App (DVAA) - Damn Vulnerable Android App (DVAA) là ứng dụng Android chứa các lỗ hổng có chủ ý
• Damn Vulnerable FirefoxOS Application (DVFA) - Ứng dụng FirefoxOS cố ý tồn tại lỗ hổng – dành cho mục đích minh họa
• Damn Vulnerable iOS App (DVIA) - Damn Vulnerable iOS App (DVIA) là ứng dụng iOS cực kỳ dễ bị tấn công
• ExploitMe Mobile Android Labs - Ứng dụng Android không an toàn cho bạn thỏa sức thử nghiệm hack
• ExploitMe Mobile iPhone Labs - Ứng dụng iPhone lỗi dành cho bạn thử sức hack
• Hacme Bank Android - Công cụ miễn phí của McAfee hỗ trợ bảo vệ an ninh của bạn.
• InsecureBank - Cyber Tales của Paladion
• NcN Wargame - Thử thách No cON Name 2012
• OWASP iGoat - Dự án OWASP iGoat là công cụ học bảo mật cho lập trình viên iOS về các điểm yếu bảo mật trên iOS — bằng cách phá và sửa lỗi.
• OWASP Goatdroid - OWASP GoatDroid là môi trường đào tạo hoàn chỉnh, độc lập để giáo dục lập trình viên và tester về bảo mật Android
• OWASP MSTG Hacking Playground - Bộ ứng dụng di động dễ bị tấn công cho bạn khai thác các lỗ hổng theo kỹ thuật của OWASP MSTG.
• OWASP MSTG Crackmes - Bộ ứng dụng di động giúp bạn nâng cao kỹ năng dịch ngược dựa trên OWASP MSTG.

API

• OWASP crAPI - crAPI viết tắt của “Completely Ridiculous API”. Nó mô phỏng một ứng dụng web dựa trên API, kiến trúc microservice dành cho chủ sở hữu xe. crAPI tập trung vào các lỗ hổng phổ biến trong ứng dụng dựa trên API hiện đại, bao gồm tất cả các lỗ hổng trong OWASP Top 10 dành cho API.
• VAmPI - VAmPI là một API dễ bị tấn công được xây dựng với Flask và bao gồm các lỗ hổng trong top 10 OWASP về API.
• capital - Ứng dụng API được xây dựng cố ý tồn tại lỗ hổng dựa trên top 10 lỗ hổng API của OWASP. Sử dụng c{api}tal để học, luyện tập và khai thác lỗ hổng Bảo mật API trong CTF Bảo mật API của riêng bạn.
• dvws-node - Damn Vulnerable Web Services là ứng dụng dễ bị tấn công với dịch vụ web và API, có thể dùng để tìm hiểu lỗ hổng webservice/API.
• VulnerableLightApp - API dễ bị tấn công phục vụ mục đích giáo dục

Đóng góp luôn được hoan nghênh

--- Tranlated By Open Ai Tx | Last indexed: 2026-01-12 ---