Geekflare
In Carrera y Seguridad  |  Última actualizaciónated:
Comparte en:
Cloudways ofrece alojamiento en la nube administrado para empresas de cualquier tamaño para alojar un sitio web o aplicaciones web complejas.

Ocho aplicaciones web vulnerables para practicar el hackeoally

By
practica hackear la piernaally

No hay mejor manera de mejorar la confianza en las habilidades de piratería ética que ponerlas a prueba.

Puede ser un desafío para hackers éticos y probadores de penetración para probar sus capacidades piernaally, por lo que tener sitios web diseñados para ser inseguros y proporcionar un entorno seguro para probar las habilidades de piratería es una manera fantástica de mantener unoself desafiado

Los sitios web y las aplicaciones web diseñadas para ser inseguras y proporcionar un entorno de piratería seguro son bases ideales para el aprendizaje. Los nuevos piratas informáticos pueden aprender a encontrar vulnerabilidades con ellos, y profesionales de la seguridad y recompensa de errores hunterLos usuarios pueden aumentar su experiencia y encontrar otras vulnerabilidades nuevas.

Uso de aplicaciones web vulnerables

Leverenvejeciendo estas intencionesally CREateLos sitios web y aplicaciones web vulnerables para realizar pruebas le brindan un entorno seguro para practicar su etapa de prueba.ally estando del lado correcto de la ley. De esta manera, puedes hackear sin entrar en territorio peligroso que podría llevar a tu arresto.

Estas aplicaciones están diseñadas para ayudar a los entusiastas de la seguridad a aprender y perfeccionar sus capacidades de pruebas de penetración y seguridad de la información.

En este artículo, he enumerado varios tipos de aplicaciones que se han diseñado intencionalmente como inseguras, a menudo conocidas como "Malditamente vulnerables".

Aplicación web con errores

La aplicación web Buggy, a menudo conocida como BWAPP, es una herramienta gratuita y de código abierto. Es un PHP aplicación que utiliza una MySQL base de datos como su back-end. Este Bwapp tiene más de 100 errores en los que puedes trabajar, ya sea que te estés preparando para una tarea o simplemente quieras mantener tus habilidades de piratería ética al día. Esto cubre todos los principales (y la mayoría de los prevalent) fallos de seguridad.

bwapp
bwapp
bwapp

En esta herramienta se incluyen más de 100 vulnerabilidades y defectos de aplicaciones en línea, que se derivó del proyecto OWASP Top 10. Los siguientes son algunos de los defectos:

  • Scripting entre sitios (XSS) y falsificación de solicitudes entre sitios (CSRF)
  • DoS (Ataques de denegación de servicio
  • Ataques de hombre en el medio
  • Falsificación de solicitudes del lado del servidor (SSRF)
  • Inyecciones SQL, OS Command, HTML, PHP y SMTP, etc.

Esta aplicación web lo ayudará a realizar pruebas de penetración y piratería ética legal.

Puede descargar fácilmente este bwapp por aquí.

Maldita aplicación web vulnerable

Maldita aplicación web vulnerable, a menudo conocida como DVWA, está desarrollado en PHP y MySQL. es intencionally dejado vulnerable por lo que los profesionales de la seguridad y los éticos los piratas informáticos puede probar sus habilidades sin piernaally comprometiendo el sistema de cualquier persona. Para ejecutarse, DVWA requiere la instalación de un servidor web, PHP y MySQL. Si aún no tiene un servidor web configurado, el método más rápido para instalar DVWA es descargar e instalar 'XAMPP'. XAMPP está disponible para descargar aquí.

dvva
dvva
dvva

Esta maldita aplicación web vulnerable proporciona algunas vulnerabilidades para probar.

  • Fuerza bruta
  • Ejecución de comandos
  • Inclusión de archivos y CSRF
  • Inyección XSS y SQL
  • Carga de archivos insegura

La principal ventaja de DVWA es que podemos establecer los niveles de seguridad para practicar pruebas en cada vulnerabilidad. Cada nivel de seguridad necesita un conjunto único de talento. Los investigadores de seguridad pueden examinar lo que sucede en el back-end gracias a la decisión de los desarrolladores de publicar el código fuente. Esto es excelente para que los investigadores aprendan sobre estos problemas y ayuden a otros a aprender sobre ellos.

Gruyere de Google

No solemos ver las palabras "queso" y "piratería" juntas, pero este sitio web está lleno de agujeros, como un queso delicioso. Gruyère es una excelente opción para principiantes que desean aprender a ubicarate y explotar vulnerabilidades y cómo luchar contra ellos. También utiliza codificación "cursi" y todo el diseño se basa en queso.

gruyere
fuente de la imagen: Gruyere de Google
gruyere
fuente de la imagen: Gruyere de Google
gruyere
fuente de la imagen: Gruyere de Google

Para facilitar las cosas, está escrito en Python y CateGorizado por tipos de vulnerabilidad. Ellos le proporcionarán un breve descriptión de la vulnerabilidad que encontrarásate, explotar e identificar mediante el uso debox o blanco-box hacking (o una combinación de ambas técnicas) para cada tarea. Algunos de ellos son :

  • Divulgación de información
  • inyección SQL
  • Falsificación de solicitudes entre sitios
  • Ataques de denegación de servicio

Aunque se requieren algunos conocimientos previos, esta es la mejor opción para principiantes.

WebCabra

Esta lista incluye otro elemento de OWASP y uno de los más populares. WebCabra es un programa inseguro que se puede utilizar para aprender sobre problemas comunes de aplicaciones del lado del servidor. Su objetivo es ayudar a las personas a aprender sobre la seguridad de las aplicaciones y a practicar. pentesttécnicas de ing.

Cada lección le permite aprender sobre una falla de seguridad específica y luego atacarla en la aplicación.

webcabra1
webcabra1
webcabra1

Algunas de las vulnerabilidades presentadas en Webgoat son:

  • Buffer desbordamientos
  • Manejo inadecuado de errores
  • Defectos de inyección
  • Comunicación y configuración inseguras
  • Defectos en la gestión de sesiones
  • Manipulación de parámetros

Metaexplotable 2

Entre los investigadores de seguridad, Metaexplotable 2 es la aplicación en línea más explotada. Herramientas de gama alta como Metasploit y Nmap puede ser utilizado para probar esta aplicación por entusiastas de la seguridad.

El objetivo principal de esta aplicación vulnerable es prueba de red. Se inspiró en el prominente programa Metasploit, que los investigadores de seguridad utilizan para descubrir fallas de seguridad. Incluso podría encontrar un shell para este programa. WebDAV, phpMyAdminy DVWA son características integradas en esta aplicación.

metasploitable2
metasploitable2
metasploitable2

Es posible que no pueda encontrar la GUI de la aplicación, pero aún puede usar numerosas herramientas a través de la terminal o la línea de comandos para explotarla. Puedes mirar sus puertos, servicios y versión, entre otras cosas. Esto lo ayudará a evaluar su capacidad para aprender la herramienta Metasploit.

Maldita aplicación de iOS vulnerable

DVIA es un programa de iOS que permite a los entusiastas, expertos y desarrolladores de seguridad móvil practicar pruebas de penetración. Recientemente se ha vuelto a publicar y ahora está disponible gratuitamente en GitHub.

dvia1
dvia1
dvia1

Siguiendo los 10 riesgos móviles principales de OWASP, DVIA contiene vulnerabilidades típicas de aplicaciones iOS. Está desarrollado en Swift y todas las vulnerabilidades se han probado hasta iOS 11. Necesitará Xcode para usarlo.

Algunas de las funciones disponibles en DVIA son:

  • Detección de fuga de la cárcel
  • Phishing
  • Criptografía rota
  • Manipulación en tiempo de ejecución
  • Aplicación de parches
  • Parcheo binario

OWASP Mutillidae II

mutílidos II es un programa de código abierto y gratuito desarrollado por OWASP. Muchos entusiastas de la seguridad lo han utilizado ya que proporciona un entorno de piratería en línea fácil de usar. Presenta una variedad de vulnerabilidades, así como recomendaciones para ayudar al usuario a explotarlas. Esta aplicación web es para que repases tus habilidades si las pruebas de penetración o la piratería son tu pasatiempo.

Contiene una variedad de vulnerabilidades para probar, incluido el secuestro de clics, la omisión de autenticación y más. Su sección de vulnerabilidades, también incluye subcategories que ofrecen más alternativas.

mutilidae2
mutilidae2
mutilidae2

Necesitarás instalar XAMPP en su sistema. Sin embargo, Mutillidae incluye XAMPP. Incluso es posible cambiar entre los modos seguro e inseguro. mutílidos es un entorno de laboratorio completo que incluye todo lo que necesita.

Dojo de seguridad web

WSD es una máquina virtual con varias herramientas como Burp Suite y proxy de rata y máquinas de destino (como WebGoat). Es un entorno de formación de código abierto basado en Ubuntu Sistema operativo 12.04. Para algunos objetivos, también contiene formación m.ateriales y guías de usuario.

No necesita ejecutar ninguna otra herramienta para usarlo; todo lo que necesitas es esta VM. Necesitará instalar y ejecutar VirtualBox 5 (o later) inicioally, o puedes usar VMware en cambio. Luego, importe el archivo ova a VirtualBox/VMware y listo. Tendrá la misma sensación que cualquier otro sistema operativo Ubuntu.

Esta máquina virtual es ideal para self-estudio y aprendizaje por parte de principiantes, profesionales y profesores que quieran enseñar sobre vulnerabilidades.

Conclusión 😎

Debe tener experiencia práctica con aplicaciones inseguras antes de ingresar al ámbito profesional de la seguridad de la información. Ayuda en el desarrollo de sus habilidades.

También le ayuda a identificar y practicar sus áreas débiles. Al practicar la piratería ética en aplicaciones especialmente diseñadas, comprenderá mejor sus habilidades de piratería y su posición en el ámbito de la seguridad. Es beneficioso compartir información. Puede utilizar estas aplicaciones web para mostrar a otros cómo detectar los defectos típicos de las aplicaciones web.

Comparte en:
  • Ashlin Jenifa
    Autor
    Hola, mi nombre es Ashlin y soy técnico superior. writer. He estado en el juego por un tiempo y me especializo en escribir sobre todo tipo de temas tecnológicos interesantes como Linux, redes, seguridad, herramientas de desarrollo, análisis de datos y nube...

Gracias a nuestros patrocinadores

Más lecturas excelentes sobre la carrera

Técnicas avanzadas de formato en Google Docs
Más allá de lo básico: técnicas avanzadas de formato en Google Docs

Google Docs hace un gran trabajo manteniendo las cosas simples. La configuración de página predeterminada funciona muy bien para la mayoría de los documentos y las opciones de formato comunes se encuentran directamente en la barra de herramientas. Sin embargo, cuando necesites realizar algún formateo avanzado, necesitarás profundizar un poco más.

Impulse su negocio

Algunas de las herramientas y servicios para ayudar a su negocio grow.
  • Murf AI

    La herramienta de conversión de texto a voz que utiliza IA para generarate Voces realistas parecidas a las humanas.

    Intente Murf AI
  • Datos brillantes

    Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.

    Prueba Brightdata
  • Monday.com

    Monday.com es un sistema operativo de trabajo todo en uno para ayudarlo a administrar proyectos, tareas, trabajo, ventas, CRM, operaciones, workflows, y más.

    Intente Monday
  • Intruder

    Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.

    Intente Intruder