Awesome Vulnerable

一个精选的易受攻击应用和系统列表，可用作渗透测试练习实验室。该列表旨在帮助初学者和专业人员测试和提升其渗透技能。

目录

• 易受攻击的 Web 应用
• 安全测试软件厂商提供的网站
• 下载各种软件旧版本的网站
• 提升黑客技能的网站
• 实验室
• 移动应用

易受攻击的 Web 应用

• BadStore - Badstore.net 致力于帮助你理解黑客如何利用 Web 应用漏洞，并向你展示如何降低风险。我们的 Badstore 演示软件旨在展示常见的黑客技术。
• BodgeIt Store - BodgeIt Store 是一个易受攻击的 Web 应用，主要面向渗透测试新手。
• Bug Bounty Hunter - BugBountyHunter 是由漏洞赏金猎人 zseano 创建的培训平台，帮助你学习 Web 应用漏洞并入门。
• Butterfly Security Project - ButterFly 项目是一个教育环境，旨在让你了解常见的 Web 应用和 PHP 漏洞。该环境还包含演示如何缓解这些漏洞的示例。
• bWAPP - bee-box 是一个预装了 bWAPP 的定制 Linux 虚拟机。
• Vulert - Vulert 通过检测开源依赖中的漏洞保护软件——无需访问你的代码。支持 Js、PHP、Java、Python 等。
• CloudGoat - CloudGoat 是 Rhino Security Labs 的“设计即易受攻击”AWS 部署工具
• Commix - 一组易受命令注入漏洞的网页集合。
• CryptOMG - CryptOMG 是一个可配置的 CTF 风格测试平台，突出常见的加密实现缺陷。
• CTFchallenge - CTFchallenge 是由 12 个易受攻击的 Web 应用组成的集合，每个应用都有自己的真实基础设施，涵盖基于漏洞报告、现实经验或 OWASP Top 10 漏洞的漏洞。
• Damn Vulnerable Cloud Application - 极易受攻击的云应用
• Damn Vulnerable Node Application(DVNA) - 极易受攻击的 NodeJS 应用
• Damn Vulnerable Web App (DVWA) - 极易受攻击的 Web 应用
• Damn Vulnerable Web Services (DVWS) -

• Firing Range - 由 Google 创建的自动化 Web 应用安全扫描测试平台。
• Foundstone Hackme Bank - 免费 McAfee 工具，助力你的安全防护。
• Foundstone Hackme Books - 免费 McAfee 工具，助力你的安全防护。
• Foundstone Hackme Casino- 免费 McAfee 工具，助力你的安全防护。
• Foundstone Hackme Shipping - 免费 McAfee 工具，助力你的安全防护。
• Foundstone Hackme Travel - 免费 McAfee 工具，助力你的安全防护。
• GameOver - GameOver 项目旨在培训和教育新手了解 Web 安全基础知识、常见 Web 攻击，并帮助他们理解攻击原理。
• hackxor - Hackxor 是一个真实的 Web 应用黑客游戏，旨在帮助各类玩家提升技能。所有任务均基于我在渗透测试、漏洞赏金和研究中亲自发现的真实漏洞。
• Hackazon - 一个现代的易受攻击的Web应用程序
• LAMPSecurity - LAMPSecurity培训旨在通过一系列有漏洞的虚拟机镜像及配套文档，教授Linux、Apache、PHP、MySQL的安全知识。
• OWASP Mantra - 免费开源的基于浏览器的安全框架，集合了众多免费开源工具并集成到Web浏览器中，非常适合渗透测试人员、Web应用开发者、安全专业人士等使用。
• NOWASP / Mutillidae 2 - OWASP Mutillidae II是一个免费、开源、故意设置漏洞的Web应用，为Web安全爱好者提供攻击目标。
• OSS – OopsSec Store - 一个使用Next.js和React构建的开源、故意设置漏洞的电商应用。为学习Web应用安全测试提供了真实的CTF平台。可通过npx create-oss-store快速搭建。
• OWASP BWA - 一套易受攻击的Web应用集合，以VMware虚拟机格式分发，兼容其免费VMware Player和VMware vSphere Hypervisor（ESXi）产品（以及旧版本和商业产品）。
• OWASP Hackademic - 帮助你测试Web应用安全知识。可在真实但可控和安全的环境中实际攻击Web应用。
• OWASP SiteGenerator - 允许基于XML文件和预定义漏洞创建动态网站（简单和复杂），涵盖.Net语言和Web开发架构（如Html、Javascript、Flash、Java等）。
• OWASP Bricks - 基于PHP和MySQL构建的Web应用安全学习平台
• OWASP Security Shepherd - Web和移动应用安全培训平台。旨在提升不同技能层次用户的安全意识。
• PentesterLab - 让Web渗透学习变得更简单！
• SecuriBench - 斯坦福SecuriBench是一组开源的真实程序，用于静态和动态安全工具的测试。0.91a版专注于Java编写的Web应用。
• SentinelTestbed - 一个易受攻击的网站，用于测试Sentinel功能。
• SocketToMe - 集成了聊天、简单数字猜测游戏及其他隐藏功能
• sqli-labs - 用于测试基于错误、盲布尔型、基于时间的SQL注入实验室。
• MCIR (Magical Code Injection Rainbow) - 奇妙代码注入彩虹！MCIR是用于构建可配置漏洞测试环境的框架，同时也是可配置漏洞测试环境的集合。
• Sqlilabs - 用于学习SQL注入技术的实验室环境
• VulnApp - 一个ASP.net应用程序，实现了渗透测试中常见的一些应用场景
• VulnLab - 使用Docker搭建的易受攻击的Web应用实验室
• PuzzleMall - 用于练习会话漏洞的易受攻击Web应用程序
• WackoPicko - WackoPicko是用于测试Web应用漏洞扫描器的易受攻击Web应用
• WebGoat.NET - 该Web应用平台旨在教学常见Web安全漏洞，包含适用于大多数Web应用的通用安全漏洞
• OWASP WebGoat8 - OWASP Webgoat 8是一个用于教学常见Web安全漏洞的学习平台，包含通用安全漏洞，采用Java编写并持续维护。
• OWASP WrongSecrets - OWASP WrongSecrets是一个易受攻击的应用，用于展示错误的密钥存储方法，并提升你的密钥猎取技能。
• WebSecurity Dojo - 免费开源、自包含的Web应用安全渗透测试培训环境。工具+靶场=Dojo
• XVWA - XVWA是一个用PHP/MySQL编写的糟糕代码的Web应用，帮助安全爱好者学习应用安全知识。
• Zap WAVE - 一款易用的集成渗透测试工具，用于发现Web应用中的漏洞
• Web-Security Academy - 由Portswigger推出的免费平台，提供Web应用安全技能学习及实验环境
• OWASP Juice Shop - 一个开源平台，用于测试Web应用安全技能。包含大量不同难度的黑客挑战
• tegal1337/0l4bs - 为Web应用安全爱好者准备的跨站脚本（XSS）实验室
• tegal1337/br0w - 黑客Br0w。用你的浏览器玩耍，学习更多，快乐黑客！
• Pentest-Ground - 拥有多个易受攻击Web应用的渗透测试靶场。
• Unguard - Kubernetes环境下不安全的云原生微服务演示应用。包含易受攻击的Java、.NET、Node.js、Go、PHP服务，MariaDB和Redis数据库，Envoy代理及负载生成器。
• Duck Store

各类软件旧版本下载站点

• Exploit-DB - Exploit数据库由Offensive Security维护，提供信息安全认证及高端渗透测试服务
• Old Apps - 为用户免费提供各种常见软件的当前及旧版本
• Old Version - 选择你喜欢的软件版本……降级到你最爱的版本！
• VirtualHacking Repo - 虚拟黑客实验室
• All Version - PortableApps 是全球最受欢迎的便携式软件解决方案，让你可以随身携带你喜欢的软件

安全测试软件厂商网站

• Acunetix acuforum - 一个故意设置易受 SQL 注入、目录遍历和其他基于 Web 攻击的论坛
• Acunetix acublog - Acunetix 的测试站点。易受 SQL 注入、跨站脚本攻击（XSS）等漏洞
• Acunetix acuart -这是一个示例 PHP 应用程序，故意设置为易受 Web 攻击，旨在帮助你测试 Acunetix
• Acunetix SecurityTweets - Acunetix Web 漏洞扫描器的易受攻击 HTML5 测试网站
• Cenzic crackmebank - 这是一个测试和演示站点
• Fortify Zero Bank - 该免费在线银行网站由 Micro Focus Fortify 发布，仅用于展示其 WebInspect 产品在检测和报告 Web 应用程序漏洞方面的功能和效果。
• Fortify IWA.NET (不安全的 Web 应用) Pharmacy Direct - 一个用于 DevSecOps 场景和演示的 Microsoft.NET Core Web 应用示例。包含一些糟糕和不安全代码示例，可通过 OpenText 提供的静态和动态应用安全测试工具发现。
• Fortify IWA.JAVA (不安全的 Web 应用) Pharmacy Direct - 一个用于 DevSecOps 场景和演示的 Java/Spring Web 应用示例。包含一些糟糕和不安全代码示例，可通过 OpenText 提供的静态和动态应用安全测试工具发现。
• IBM altoromutual - AltoroJ 网站由 IBM 公司发布，仅用于展示 IBM 产品在检测 Web 应用漏洞和网站缺陷方面的效果
• Mavituna testsparker - Netsparker 的测试和演示站点
• Mavituna testsparker - Netsparker 的测试和演示站点，下一代 Web 应用安全扫描器。启动 Netsparker 扫描此网站，让它发现漏洞
• Mavituna testsparker - Netsparker 的测试和演示站点
• NTOSpider Test Site - 此站点用于测试自动化 Web 应用扫描器，如 AppSpider

提升黑客技能的网站

• Blue Team Labs Online - Cyber Range -一个为防御者提供练习安全调查和挑战的平台，涵盖事件响应、数字取证、安全运营、逆向工程和威胁狩猎
• Embedded Security CTF - 世界各地的仓库中藏有装满 Cy Yombinator 持有债券的公文包，价值可能高达数十亿美元。你将协助偷取这些公文包
• EnigmaGroup - Enigma Group 为会员提供一个合法、安全的安全资源，可以在该网站提供的各种挑战中提升渗透测试技能
• Escape - 代码以不安全方式生成 HTML。通过调用 alert(1) 证明这一点
• Google Gruyere - 此代码实验室展示了如何利用 Web 应用漏洞以及如何防御这些攻击
• Forensic Practical - 锻炼你的取证技能，运行蜜罐上发现的恶意软件，将其安装在干净的计算机上观察其行为
• Gh0st Lab - 此网络最初的想法是创建一个安全研究网络，让志同道合的人共同努力提升知识
• Hack The Box - 一个在线平台，允许你测试渗透测试技能，与成千上万安全领域的人交流想法和方法
• TryHackMe - 网络安全培训变得简单。通过设计预设课程，包括云端虚拟机（VM），让你轻松学习
• Hack This Site - Hack This Site 是一个免费、安全且合法的黑客训练场，帮助黑客测试和提升技能
• HackThis - Defend the Web 是一个互动网络安全平台
• HackQuest - 匿名网站托管、虚拟服务器、安全邮箱
• Hack.me - Hacking-Lab 是 Security Competence GmbH 提供的服务，是 Compass Security AG 的瑞士子公司。Compass Security 专注于渗透测试、事件响应、数字取证和安全培训
• Hacking-Lab - Hack.me 是由 eLearnSecurity 提供的免费社区项目。社区可以构建、托管和分享用于教育和研究的易受攻击 Web 应用代码
• Hacker Test - HackerTest.net 是你的在线黑客模拟平台。此现实模拟将帮助你提升 JavaScript、PHP、HTML 和图形思维方面的安全知识
• Halls Of Valhalla - Valhalla 是一个分享知识和想法的地方。用户可以提交代码，以及科学、技术和工程相关的新闻和文章
• Hax.Tor - HaX.ToR.Hu 是一个挑战网站，注重以有趣方式教授基础安全相关问题
• Metasploit Unleashed - Metasploit Unleashed（MSFU）课程由 Offensive Security 免费提供，旨在提升东非贫困儿童的安全意识
• OverTheWire - OverTheWire 社区提供的攻防游戏可以帮助你通过充满乐趣的游戏学习和练习安全概念
• PentestIT - 渗透测试实验室“测试实验室”模拟真实公司的 IT 基础设施，专为合法渗透测试和提升渗透技能而设计
• CSC Play on Demand - 本挑战旨在识别内部人员通过看似无害的文件意外或恶意泄露组织机密的方法
• Root Me - 快速、简单且经济实惠的黑客技能训练方式
• Security Treasure Hunt - 基于数据包捕获的 Web 漏洞分析新挑战开放至 2013 年 4 月 30 日，由 Cyber Aces 赞助
• Smash The Stack - 攻防游戏网络
• SQLZoo - 利用 SQL 注入攻击需要解决一个类似于“猜词”和“20 问”之间的谜题。需要一些 SQL 知识和大量的机智
• TheBlackSheep and Erik - 提供数百个编程、JavaScript、PHP、Java、隐写术、密码学等领域的挑战
• ThisIsLegal - 一个黑客攻防游戏站点，还包含论坛和教程等内容
• Try2Hack - 本站点为你提供多个以安全为导向的娱乐挑战。实际上是现存最老的挑战站点之一
• VulnHub - 一个包含易受攻击主机和相关挑战的集合，帮助你获得网络安全“实战”经验。
• XSS: Can You XSS This? - 使用 HTMLSanitizer 保护你的 Web 应用
• XSS Game - 学习发现和利用 XSS 漏洞
• XSS: ProgPHP - 下一代域名注册平台。Progphp.com 即将上线！
• Pwnable.tw - 一组高质量的新型 pwnable 挑战
• Pwnable.kr - 近年来最受欢迎的攻防游戏挑战之一
• PicoCTF - 面向高中生设计的 CTF 活动，虽然活动每年更新，但会一直在线，难度进阶合理
• CTF Learn - 一个基于 CTF 的新学习平台，拥有用户贡献的挑战
• Reversing.kr - 本站点测试你的破解与逆向工程能力
• w3challs - 我们的挑战涵盖多个黑客子领域，主要以进攻性为主。多种技术与架构等你来挑战。展示你的高超技能，获取 shell（或计算器）！
• RingZer0 Team - RingZer0 团队的在线 CTF 提供大量挑战，旨在通过黑客挑战测试和提升你的黑客技能。
• HellBound Hackers - 注重实际操作的计算机安全与模拟安全挑战
• Komodo Consulting - 应用安全挑战，专为考验你的应用黑客技能而设计
• Maxkersten Binary Analysis - 一个实用的二进制分析课程
• PwnAdventure - Pwnie Island 是一款限时发售的第一人称、真正的开放世界 MMORPG，设定在一座美丽的岛屿上，这里任何事情都可能发生。因为这款游戏特意设置了各种漏洞！飞行、无限现金等只需更改客户端或代理网络即可实现
• INE - 实用的在线 IT 培训与认证

实验室

• CTFd - 按需定制的 CTF 平台
• Mellivora - Mellivora 是一款用 PHP 编写的 CTF 引擎
• Metasploitable2 - Metasploitable 是一个故意设计为易受攻击的 Linux 虚拟机
• NightShade - 一个简单的夺旗框架。
• MCIR - 神奇代码注入彩虹！MCIR 是一个用于构建可配置漏洞测试环境的框架，同时也是可配置漏洞测试环境的集合。
• Vagrant - 轻松创建开发环境
• NETinVM - 一款用于系统、网络和安全教学与学习的工具
• SmartOS - SmartOS 是一个免费的开源 SVR4 虚拟机监控器，基于 UNIX 操作系统，结合了 OpenSolaris 技术和 Linux 的 KVM 虚拟化
• SmartDataCenter - Joyent Triton 数据中心：一款一流支持容器的云管理平台。
• vSphere Hypervisor - vSphere Hypervisor 是一款裸金属虚拟机监控器，可虚拟化服务器，让你整合应用的同时节省管理 IT 基础设施的时间和成本。
• GNS3 - 在无风险的虚拟环境中构建、设计和测试你的网络，并加入全球最大的网络社区获取帮助。
• OCCP - 一款为网络安全教育者和挑战活动协调员提供的免费、可配置、开源的虚拟化平台。
• XAMPP - XAMPP 是一个完全免费的、易于安装的 Apache 发行版，包含 MariaDB、PHP 和 Perl。XAMPP 开源包被设计为极其容易安装和使用。
• Kubernetes Goat - Kubernetes Goat 是一个故意设计为易受攻击的集群环境，旨在学习和实践 Kubernetes 安全。
• Offensive Security - 在独立、私有实验室环境中练习你的渗透测试技能 —— Offensive Security 的 Proving Grounds 培训实验室新增了 PG Play 和 PG Practice。
• Game of Hacks - 好吧，这其实并不是一个易受攻击的 Web 应用 —— 但它也是一种学习发现应用安全漏洞的有趣方式，所以我们决定也收录进来。
• Google Gruyere - 这个“奶酪味”的易受攻击网站漏洞百出，适合刚开始学习应用安全的人士。
• Hellbound Hackers - Hellbound Hackers 采用动手实践的方式教授计算机安全，提供各种挑战，旨在教会如何识别漏洞并建议修补代码。
• Peruggia - Peruggia 是一个安全环境，供安全专家和开发者学习和测试针对 Web 应用的常见攻击。
• oliverwiegers/pentest_lab - 基于 Docker Compose 的本地渗透测试实验室。
• Hacksplaining - 针对多个知名 Web 漏洞的交互式课程。
• LabEx - 通过动手实验提升你的 Linux、DevOps 和网络安全技能的在线平台。
• gRPC Goat - gRPC Goat 是一个“为漏洞而设计”的实验室，旨在提供一个互动式的实践操场，学习和练习 gRPC 安全。
• SocengLab - SocEng Lab 是一个开源适应性社会工程模拟平台，为安全意识培训带来学术严谨性。

移动应用

• Allsafe - Allsafe 是一个故意设计为易受攻击的应用，包含各种漏洞。
• Damn Vulnerable Android App (DVAA) - Damn Vulnerable Android App (DVAA) 是一个包含故意漏洞的 Android 应用。
• Damn Vulnerable FirefoxOS Application (DVFA) - Damn Vulnerable FirefoxOS Application - 一个专为演示而设计的易受攻击应用。
• Damn Vulnerable iOS App (DVIA) - Damn Vulnerable iOS App (DVIA) 是一个极易受攻击的 iOS 应用。
• ExploitMe Mobile Android Labs - 不安全的 Android 应用，供你享受黑客乐趣。
• ExploitMe Mobile iPhone Labs - 有缺陷的 iPhone 应用，供你享受黑客乐趣。
• Hacme Bank Android - 免费的 McAfee 工具，帮助提升你的安全防护。
• InsecureBank - Paladion 出品的网络安全故事。
• NcN Wargame - No cON Name 2012 挑战赛。
• OWASP iGoat - OWASP iGoat 项目是一个安全学习工具，帮助 iOS 开发者了解 iOS 中的安全弱点 —— 通过破坏和修复来学习。
• OWASP Goatdroid - OWASP GoatDroid 是一个功能齐全且自包含的培训环境，用于教育开发者和测试人员了解 Android 安全。
• OWASP MSTG Hacking Playground - 一组移动端易受攻击应用，你可以使用 OWASP MSTG 的技术来利用这些漏洞。
• OWASP MSTG Crackmes - 一组移动应用，帮助你提升逆向工程技能，基于 OWASP MSTG。

API

• OWASP crAPI - crAPI 代表“完全荒谬的 API”。它模拟了一个 API 驱动的微服务 Web 应用平台，面向车辆所有者。crAPI 专注于现代 API 应用常见的漏洞，包括 OWASP API Top 10 的所有问题。
• VAmPI - VAmPI 是一个基于 Flask 的易受攻击 API，包含 OWASP API Top 10 漏洞。
• capital - 基于 OWASP API Top 10 漏洞构建的易受攻击 API 应用。使用 c{api}tal 学习、训练并利用 API 安全漏洞，还可在自己的 API 安全 CTF 中实践。
• dvws-node - Damn Vulnerable Web Services 是一个易受攻击的应用，包含 Web 服务和 API，可用于学习与 Web 服务/API 相关的漏洞。
• VulnerableLightApp - 用于教育目的的易受攻击 API

--- Tranlated By Open Ai Tx | Last indexed: 2026-01-12 ---