Awesome Vulnerable

精選一系列可用於滲透測試練習的易受攻擊應用程式與系統。本清單旨在協助初學者及專業人士測試並提升其滲透技能。

目錄

• 易受攻擊的網頁應用程式
• 安全測試軟體廠商提供的網站
• 下載各種軟體舊版本的網站
• 提升駭客技能的網站
• 實驗室
• 行動應用程式

易受攻擊的網頁應用程式

• BadStore - Badstore.net 致力於協助您了解駭客如何利用網頁應用程式漏洞，並展示如何降低您的風險。我們的 Badstore 示範軟體旨在展示常見的駭客技術。
• BodgeIt Store - The BodgeIt Store 是一個針對滲透測試初學者設計的易受攻擊網頁應用程式。
• Bug Bounty Hunter - BugBountyHunter 是由 bug bounty hunter zseano 創建的訓練平台，幫助你學習網頁應用程式漏洞並開始入門。
• Butterfly Security Project - ButterFly 專案是一個教育性環境，旨在讓您深入了解常見的網頁應用程式及 PHP 漏洞，並包含如何緩解這些漏洞的範例。
• bWAPP - bee-box 是一款預先安裝 bWAPP 的自訂 Linux VM。
• Vulert - Vulert 藉由偵測開源相依性中的漏洞來保護軟體，無需存取您的原始碼。支援 Js、PHP、Java、Python 等。
• CloudGoat - CloudGoat 是 Rhino Security Labs 的「設計為易受攻擊」AWS 部署工具
• Commix - 一組易受指令注入漏洞的網頁。
• CryptOMG - CryptOMG 是一個可配置的 CTF 風格測試平台，著重於常見的加密實作漏洞。
• CTFchallenge - CTFchallenge 包含 12 個易受攻擊的網頁應用程式，每個應用都在多個子網域上有其實際基礎設施，漏洞來源於錯誤回報、真實經驗或 OWASP Top 10。
• Damn Vulnerable Cloud Application - 極度易受攻擊的雲端應用程式
• Damn Vulnerable Node Application(DVNA) - 極度易受攻擊的 NodeJS 應用程式
• Damn Vulnerable Web App (DVWA) - 極度易受攻擊的網頁應用程式
• Damn Vulnerable Web Services (DVWS) -

• Firing Range - 由 Google 建立的自動化網頁應用程式安全掃描器測試平台。
• Foundstone Hackme Bank - 免費 McAfee 工具，協助您的安全防護。
• Foundstone Hackme Books - 免費 McAfee 工具，協助您的安全防護。
• Foundstone Hackme Casino- 免費 McAfee 工具，協助您的安全防護。
• Foundstone Hackme Shipping - 免費 McAfee 工具，協助您的安全防護。
• Foundstone Hackme Travel - 免費 McAfee 工具，協助您的安全防護。
• GameOver - GameOver 項目旨在培訓與教育新手網頁安全的基本知識，並了解常見網頁攻擊及其運作方式。
• hackxor - Hackxor 是一款真實網頁應用駭客遊戲，旨在幫助各級玩家提升技能。所有任務皆基於我在滲透測試、漏洞賞金及研究中親自發現的真實漏洞。
• Hackazon - 一個現代化的易受攻擊網頁應用程式
• LAMPSecurity - LAMPSecurity 訓練是一系列易受攻擊的虛擬機映像與補充文件，旨在教導 Linux、Apache、PHP、MySQL 的安全性。
• OWASP Mantra - 免費且開源的瀏覽器型安全框架，是一系列免費及開源工具，整合於網頁瀏覽器中，適合滲透測試人員、網頁開發者、安全專業人士等使用。
• NOWASP / Mutillidae 2 - OWASP Mutillidae II 是一個免費、開源、刻意設計有漏洞的網頁應用程式，為網頁安全愛好者提供練習目標。
• OSS – OopsSec Store - 一個以 Next.js 和 React 架設的開源、刻意有漏洞的電子商務應用。提供真實的 CTF 平台以學習網頁安全測試，可用 npx create-oss-store 快速部署。
• OWASP BWA - 一組易受攻擊的網頁應用程式，透過虛擬機 (VMware 格式) 發佈，兼容 VMware Player 與 VMware vSphere Hypervisor (ESXi) 等產品。
• OWASP Hackademic - 這個專案幫助你測試網頁應用安全知識，能在真實且可控、具安全性的環境中攻擊網頁應用程式。
• OWASP SiteGenerator - OWASP SiteGenerator 允許基於 XML 檔和預先定義的漏洞（簡單或複雜）建立動態網站，涵蓋 .Net 語言與網頁架構（例如 Html、Javascript、Flash、Java 等）。
• OWASP Bricks - 建立於 PHP 和 MySQL 上的網頁應用安全學習平台
• OWASP Security Shepherd - OWASP Security Shepherd 是網頁及行動應用安全訓練平台，旨在提升各種技能層級人士的安全意識。
• PentesterLab - 讓學習網頁駭客變得更簡單！
• SecuriBench - 史丹佛 SecuriBench 是一組開源真實程式，作為靜態與動態安全工具測試場。發佈 .91a 以 Java 寫成的網頁應用為主。
• SentinelTestbed - 易受攻擊的網站，用於測試 sentinel 功能。
• SocketToMe - 結合聊天、簡單猜數字遊戲及其他隱藏功能
• sqli-labs - SQLI 實驗室，用於測試錯誤型、盲布林型、時間型 SQL 注入。
• MCIR (Magical Code Injection Rainbow) - 奇幻代碼注入彩虹！MCIR 是可配置漏洞測試床框架，也是可配置漏洞測試床的集合。
• Sqlilabs - 用於學習 SQL 注入技術的實驗室設置
• VulnApp - ASP.net 應用，實現滲透測試常見的應用功能
• VulnLab - 使用 Docker 的易受攻擊網頁應用程式實驗室
• PuzzleMall - 用於練習會話難題的易受攻擊網頁應用程式
• WackoPicko - WackoPicko 是用於測試網頁漏洞掃描器的易受攻擊網頁應用程式
• WebGoat.NET - 這個網頁應用是教學平台，旨在教授常見網頁安全漏洞，包含大多數網頁應用通用的安全漏洞
• OWASP WebGoat8 - OWASP WebGoat 8 為學習平台，教授常見網頁安全漏洞，含多種通用漏洞，以 Java 編寫並持續維護。
• OWASP WrongSecrets - OWASP WrongSecrets 是易受攻擊的程式，展示錯誤保存秘密的方式，幫助提升秘密搜尋技巧。
• WebSecurity Dojo - 免費開源自包含訓練環境，用於網頁應用安全滲透測試。工具 + 目標 = Dojo
• XVWA - XVWA 是用 PHP/MySQL 編寫的低品質代碼網頁應用，協助安全愛好者學習應用安全。
• Zap WAVE - 易於使用的整合滲透測試工具，用於發現網頁應用漏洞
• Web-Security Academy - 免費平台，由 Portswigger 提供，透過練習實驗室和學習教材，提升網頁應用安全技能
• OWASP Juice Shop - 開源平台，用於測試網頁應用安全技能，應用程式包含各難度的駭客挑戰
• tegal1337/0l4bs - 網頁應用安全愛好者的跨站腳本 (XSS) 實驗室
• tegal1337/br0w - Hack The Br0w。玩你的瀏覽器並學習更多，快樂駭客！
• Pentest-Ground - 滲透測試練習場，包含多個易受攻擊的網頁應用。
• Unguard - Kubernetes 用的不安全雲原生微服務示範應用，包含易受攻擊的 Java、.NET、Node.js、Go、PHP 服務、MariaDB、Redis 資料庫、Envoy 代理和負載產生器。
• Duck Store

可下載各類軟體舊版本的網站

• Exploit-DB - Exploit Database 由 Offensive Security 維護，是資訊安全訓練公司，提供各種資訊安全認證及高階滲透測試服務
• Old Apps - 為用戶免費提供各種知名軟體的現行及舊版資源
• Old Version - 選擇喜愛的軟體版本...降級到你喜歡的版本！
• VirtualHacking Repo - 虛擬駭客實驗室
• All Version - PortableApps 是全球最受歡迎的可攜式軟體解決方案，讓你隨身攜帶最愛的軟體

安全測試軟體供應商網站

• Acunetix acuforum - 一個刻意設計易受 SQL 注入、目錄遍歷等網路攻擊的論壇
• Acunetix acublog - Acunetix 的測試網站。易受 SQL 注入、跨站腳本（XSS）等漏洞攻擊
• Acunetix acuart -這是一個範例 PHP 應用程式，故意設計成易受網路攻擊，供測試 Acunetix 使用
• Acunetix SecurityTweets - Acunetix Web 漏洞掃描器的 HTML5 易受攻擊測試網站
• Cenzic crackmebank - 這是一個測試和展示網站
• Fortify Zero Bank - Micro Focus Fortify 發布的免費線上銀行網站，專為展示 Micro Focus Fortify 的 WebInspect 產品在偵測和回報 Web 應用程式漏洞上的功能和效能
• Fortify IWA.NET (Insecure Web Application) Pharmacy Direct - 一個用於 DevSecOps 場景和展示的 Microsoft.NET Core Web 應用程式範例，包含一些不良和不安全程式碼範例，可用 OpenText 的靜態及動態安全測試工具發現
• Fortify IWA.JAVA (Insecure Web Application) Pharmacy Direct - 一個用於 DevSecOps 場景和展示的 Java/Spring Web 應用程式範例，包含一些不良和不安全程式碼範例，可用 OpenText 的靜態及動態安全測試工具發現
• IBM altoromutual - AltoroJ 網站由 IBM 發布，專為展示 IBM 產品在偵測 Web 應用漏洞和網站缺陷上的效能
• Mavituna testsparker - 這是 Netsparker 的測試和展示網站
• Mavituna testsparker - 這是 Netsparker 的測試和展示網站，下一代 Web 應用安全掃描器。啟動 Netsparker 掃描此網站並找出漏洞
• Mavituna testsparker - 這是 Netsparker 的測試和展示網站
• NTOSpider Test Site - 此網站設置用於測試自動化 Web 應用掃描器如 AppSpider

提升駭客技巧的網站

• Blue Team Labs Online - Cyber Range - 以遊戲化方式，讓防禦者練習資安調查及挑戰，包括：事件回應、數位鑑識、安全營運、逆向工程和威脅狩獵
• Embedded Security CTF - 世界各地鎖在倉庫裡的公事包裡藏有可值數十億美元的 Cy Yombinator 債券，你將協助竊取這些公事包
• EnigmaGroup - Enigma Group 為會員提供合法安全的資安資源，可在本站挑戰題目中培養滲透測試技能
• Escape - 程式碼以不安全方式產生 HTML，證明它，呼叫 alert(1)
• Google Gruyere - 此程式教學展示如何利用 Web 應用漏洞及如何防禦這些攻擊
• Forensic Practical - 提升鑑識技能，可在乾淨電腦安裝蜜罐中發現的惡意程式並觀察其行為
• Gh0st Lab - 此網路的初衷是創建一個安全研究網路，讓志同道合者共同追求知識
• Hack The Box - 一個線上平台，讓你測試滲透測試技能，並與數千名資安領域人士交流想法與方法
• TryHackMe - 資安訓練變得簡單。設計預建課程並在雲端提供可隨時部署的虛擬機（VM），讓學習更輕鬆
• Hack This Site - Hack This Site 是一個免費、安全、合法的駭客訓練場，讓駭客測試並提升駭客技能
• HackThis - Defend the Web 是一個互動式網路資安平台
• HackQuest - 匿名網頁寄存、虛擬伺服器、安全電子郵件
• Hack.me - Hacking-Lab 由 Security Competence GmbH（Compass Security AG 瑞士子公司）提供。Compass Security 是歐洲知名的滲透測試、事件回應、數位鑑識及資安訓練公司
• Hacking-Lab - Hack.me 是由 eLearnSecurity 推動的免費社群專案，社群可建立、託管並分享易受攻擊的 Web 應用程式程式碼，用於教育及研究目的
• Hacker Test - HackerTest.net 是你的專屬線上駭客模擬場，這種真實模擬能幫助你提升 JavaScript、PHP、HTML 和圖像思考的資安知識
• Halls Of Valhalla - Valhalla 是分享知識和想法的地方，用戶可提交程式碼，以及科學、技術、工程相關新聞與文章
• Hax.Tor - HaX.ToR.Hu 是一個挑戰網站，強調以有趣方式教授基本資安相關議題
• Metasploit Unleashed - Metasploit Unleashed (MSFU) 課程由 Offensive Security 免費提供，旨在提升東非弱勢兒童的意識
• OverTheWire - OverTheWire 社群提供的 wargames 能以有趣遊戲的形式，幫助你學習和練習安全概念
• PentestIT - 滲透測試實驗室「Test lab」模擬真實公司的 IT 基礎設施，為合法滲透測試及提升滲透測試技能而設
• CSC Play on Demand - 此挑戰旨在識別內部人員可能意外或惡意透過看似無害的檔案洩漏組織機密的方式
• Root Me - 快速、簡單且經濟實惠的方式訓練你的駭客技能
• Security Treasure Hunt - 新的基於封包捕獲的網頁漏洞分析挑戰至 2013 年 4 月 30 日提供，由 Cyber Aces 贊助
• Smash The Stack - Wargaming 網絡
• SQLZoo - 利用 SQL 注入攻擊來解謎，類似猜字遊戲和 20 問的結合。需要一點 SQL 理解及大量心思
• TheBlackSheep and Erik - 提供數百個程式設計、JavaScript、PHP、Java、隱寫術、密碼學等領域的挑戰
• ThisIsLegal - 一個駭客 wargames 網站，還有論壇和教學
• Try2Hack - 此網站提供數個以安全為導向的挑戰供你娛樂。實際上是現存最古老的挑戰網站之一
• VulnHub - 收錄易受攻擊的主機及相關挑戰，讓你獲得網路安全的「實作」經驗
• XSS: Can You XSS This? - 使用 HTMLSanitizer 來保護你的網頁應用程式
• XSS Game - 學習尋找並利用 XSS 漏洞
• XSS: ProgPHP - 新一代域名註冊。Progphp.com 即將推出！
• Pwnable.tw - 一組較新且高品質的 pwnable 挑戰
• Pwnable.kr - 近期較受歡迎的 wargaming 挑戰集合之一
• PicoCTF - 為高中生設計，活動每年更新，網站持續開放且難度循序漸進
• CTF Learn - 一個新的 CTF 學習平台，含使用者投稿的挑戰
• Reversing.kr - 此網站測試你的破解及逆向工程能力
• w3challs - 我們的挑戰涵蓋多種駭客領域，主要偏向攻擊面。多種技術與架構等你來挑戰。展現你的實力，攻克一些 shell（或計算機）！
• RingZer0 Team - RingZer0 Team 線上 CTF 提供大量挑戰，旨在測試並提升你的駭客技能
• HellBound Hackers - 實作式的電腦安全及模擬安全挑戰
• Komodo Consulting - 應用程式安全挑戰，專為考驗你的應用駭客技能而設
• Maxkersten Binary Analysis - 一門實用的二進位分析課程
• PwnAdventure - Pwnie Island 是限時推出的第一人稱、真正開放世界 MMORPG，設在美麗島嶼上，任何事都有可能發生。因為這款遊戲故意存在各種漏洞！飛行、無限現金等都只需更改客戶端或代理網路
• INE - 實作型線上 IT 培訓與認證

實驗室

• CTFd - 按需提供 CTF
• Mellivora - Mellivora 是用 PHP 編寫的 CTF 引擎
• Metasploitable2 - Metasploitable 是一個故意設計有漏洞的 Linux 虛擬機
• NightShade - 一個簡單的奪旗框架
• MCIR - 魔法程式碼注入彩虹！MCIR 是用於建立可配置漏洞測試環境的框架，同時也是可配置漏洞測試環境的集合
• Vagrant - 輕鬆建立開發環境
• NETinVM - 一個用於系統、網路和安全教學與學習的工具
• SmartOS - SmartOS 是基於 UNIX 的免費開源 SVR4 虛擬化管理程式，結合 OpenSolaris 技術及 Linux 的 KVM 虛擬化
• SmartDataCenter - Joyent Triton DataCenter：一個雲端管理平台，原生支援容器
• vSphere Hypervisor - vSphere Hypervisor 是裸機虛擬化程式，能虛擬化伺服器，讓你整合應用程式並節省管理 IT 基礎設施的時間與費用
• GNS3 - 在無風險的虛擬環境中建立、設計並測試你的網路，並取得最大型的網路社群協助
• OCCP - 一個免費、可配置、開源的虛擬化平台，供網路安全教育者及挑戰活動協調者使用
• XAMPP - XAMPP 是一個完全免費且易於安裝的 Apache 發行版，包含 MariaDB、PHP 和 Perl。XAMPP 開源套件設計得非常容易安裝和使用。
• Kubernetes Goat - Kubernetes Goat 設計為一個故意有漏洞的叢集環境，用於學習和練習 Kubernetes 安全。
• Offensive Security - 在獨立、私人實驗室環境中練習滲透測試技能，包含 Offensive Security 的 Proving Grounds 訓練實驗室中新增的 PG Play 和 PG Practice。
• Game of Hacks - 好吧，這個不完全是一個有漏洞的網頁應用程式，但它是另一種有趣的方式來學習辨識應用程式安全漏洞，因此我們也一併推薦。
• Google Gruyere - 這個“起司味十足”的漏洞網站充滿漏洞，適合剛開始學習應用程式安全的人。
• Hellbound Hackers - Hellbound Hackers 採用實作方式教授電腦安全，提供多元挑戰，目標是教導如何辨識漏洞並建議修補程式碼。
• Peruggia - Peruggia 是一個安全的環境，供安全專業人士和開發者學習及測試網頁應用程式的常見攻擊。
• oliverwiegers/pentest_lab - 利用 Docker Compose 建立的本地滲透測試實驗室。
• Hacksplaining - 針對多種知名網頁漏洞的互動式課程。
• LabEx - 一個線上平台，透過實作實驗來提升你的 Linux、DevOps 與資安技能。
• gRPC Goat - gRPC Goat 是一個“故意有漏洞”設計的實驗室，提供互動式的實作場域來學習與練習 gRPC 安全。
• SocengLab - SocEng Lab 是一個開源的自適應社交工程模擬平台，將學術嚴謹性帶入安全意識訓練。

行動應用程式

• Allsafe - Allsafe 是一個故意設計有漏洞的應用程式，包含各種安全漏洞。
• Damn Vulnerable Android App (DVAA) - Damn Vulnerable Android App (DVAA) 是一個 Android 應用程式，包含刻意設計的漏洞。
• Damn Vulnerable FirefoxOS Application (DVFA) - Damn Vulnerable FirefoxOS Application - 一個為示範而故意設計有漏洞的應用程式。
• Damn Vulnerable iOS App (DVIA) - Damn Vulnerable iOS App (DVIA) 是一個極度脆弱的 iOS 應用程式。
• ExploitMe Mobile Android Labs - 一個不安全的 Android 應用程式，供你盡情練習駭入。
• ExploitMe Mobile iPhone Labs - 一個有瑕疵的 iPhone 應用程式，供你練習駭入。
• Hacme Bank Android - 免費 McAfee 工具，協助你的安全防護。
• InsecureBank - Paladion 的網路安全故事。
• NcN Wargame - No cON Name 2012 挑戰題目。
• OWASP iGoat - OWASP iGoat 專案是一個 iOS 開發者安全學習工具，透過破壞和修復來學習 iOS 的安全弱點。
• OWASP Goatdroid - OWASP GoatDroid 是一個完整且自足的訓練環境，幫助開發者和測試人員學習 Android 安全。
• OWASP MSTG Hacking Playground - 一系列行動裝置漏洞應用程式，你可以用 OWASP MSTG 的技巧來攻擊這些漏洞。
• OWASP MSTG Crackmes - 一套行動應用程式，根據 OWASP MSTG 提升你的逆向工程能力。

API

• OWASP crAPI - crAPI 代表“Completely Ridiculous API”。它模擬一個 API 驅動、微服務架構的網頁應用程式，專為車主打造。crAPI 主要著重於現代 API 應用程式中常見的漏洞，包括 OWASP API 十大漏洞。
• VAmPI - VAmPI 是一個使用 Flask 製作的漏洞 API，包含 OWASP API 十大漏洞中的各種漏洞。
• capital - 一個根據 OWASP API 十大漏洞設計的易受攻擊 API 應用程式。使用 c{api}tal 學習、訓練並在自己的 API 安全 CTF 中利用 API 安全漏洞。
• dvws-node - Damn Vulnerable Web Services 是一個有漏洞的應用程式，包含網頁服務和 API，可用來學習網頁服務／API 相關漏洞。
• VulnerableLightApp - 教育用途的易受攻擊 API。

--- Tranlated By Open Ai Tx | Last indexed: 2026-01-12 ---