Nunca he tratado de hackear sitios. He seguido las directrices de seguridad. Ahora quiero tratar de desarrollar más seguridad.

Es que hay alguna «sitios de entrenamiento» con agujeros y «ejercicios», con las inyecciones de SQL, la redefinición de las variables globales, XSS y otro tipo de agujeros. Tipo de hacker sandbox.

Una más cínico persona puede decir que el Internet es los sitios de entrenamiento, pero aparte de eso, tal vez usted sólo debe hacerlo usted mismo — aprender acerca de una vulnerabilidad, implementar la vulnerabilidad, explotar su implementación y considerar cómo su aplicación se puede arreglar?

OriginalEl autor fl00r | 2011-04-07

4 Comentarios

  1. 8

    Google acaba la cosa, trate de Gruyere

    Este codelab está construido alrededor de Gruyere /ɡruːˈjɛər/- un pequeño, cursi aplicación web que permite a sus usuarios publicar fragmentos de texto y almacén surtido de archivos. «Desgraciadamente», el Gruyere tiene varios bugs de seguridad que van desde el cross-site scripting y cross-site request forgery, la divulgación de información, denegación de servicio, y la ejecución remota de código. El objetivo de este codelab es guiarte a través de descubrir algunos de estos errores y a aprender formas de solucionarlos, tanto en el Gruyere y en general.

    Gruyere se ve bien. Thanx!

    OriginalEl autor Jeff Foster

  2. 9

    Pop a través de esta pregunta vulnerables de los Sistemas Operativos en la Pila de Seguridad de Exchange o esto de servidores vulnerables para pruebas de penetración (especialmente esta respuesta que tiene una lista impresionante)

    Tenemos un par de preguntas en torno a este tema o Enseñanza De La Seguridad en general, adn como un crecimiento de los recursos para ELLO y la Seguridad de la Información podría ser así que vale la pena hacer estallar.

    Fragmento de contenido a partir de allí:

    http://www.irongeek.com/i.php?page=security/wargames

    WebGoat. WebGoat es un conjunto de
    deliberadamente inseguro Java server
    páginas

    http://www.hackthissite.org/

    http://www.smashthestack.org/wargames.php

    de sus preguntas más frecuentes

    The Smash the Stack Wargaming Network hosts several Wargames. A

    Wargame en nuestro contexto puede ser
    descrito como un hacking ético
    ambiente que apoya el
    simulación del mundo real de software
    la vulnerabilidad de las teorías o conceptos y
    permite la ejecución legal de
    técnicas de explotación. El Software puede
    ser un Sistema Operativo de red
    protocolo, o de cualquier modo de usuario de la aplicación.
    Blockquote

    http://www.astalavista.com/page/wargames.html

    http://www.governmentsecurity.org/forum/index.php?showtopic=15442

    http://www.overthewire.org/wargames/

    la lista es larga… algunos son algunas de las
    no…

    Actualización 26 de Febrero de 2011, me encontré con una agradable
    post de
    http://r00tsec.blogspot.com/2011/02/pentest-lab-vulnerable-servers.html
    . Algunos enlaces pueden estar rotos. Puedo copiar
    desde allí:

    Holynix Similar a la de-hielo Cd y
    pWnOS, holynix es un servidor de ubuntu
    imagen de vmware que fue deliberadamente
    construido para tener agujeros de seguridad para el
    a los efectos de las pruebas de penetración. Más
    de una carrera de obstáculos que real
    ejemplo de mundo.
    http://pynstrom.net/index.php?page=holynix.php

    WackoPicko WackoPicko es un sitio web
    que contiene las vulnerabilidades conocidas.
    Fue utilizado por primera vez por el artículo ¿por Qué
    Johnny no Puede Pentest: Un Análisis de
    La caja negra de la Web Vulnerability Scanners
    encontrado:
    http://cs.ucsb.edu/~adoupe/static/black-box-escáneres-dimva2010.pdf
    https://github.com/adamdoupe/WackoPicko

    De HIELO PenTest LiveCDs El PenTest
    Cds son la creación de Thomas
    Wilhelm, quien fue trasladado a un
    prueba de penetración de equipo en la empresa
    trabajó para. La necesidad de aprender como
    mucho acerca de las pruebas de penetración y
    rápidamente como sea posible, Thomas comenzó a
    buscando herramientas y objetivos. Él
    encontró una serie de herramientas, pero no utilizables
    objetivos de la práctica en contra.
    Finalmente, en un intento de estrecho
    la brecha de aprendizaje, Thomas creado
    PenTest escenarios de uso de los LiveCDs.
    http://de-ice.net/hackerpedia/index.php/De-ICE.net_PenTest_Disks

    Metasploitable Metasploitable es un
    Ubuntu 8.04 server instalar en VMWare
    6.5 de la imagen. Un número de paquetes vulnerables se incluyen, incluyendo una
    instalación de tomcat 5.5 (con débil
    credenciales), distcc, tikiwiki, twiki,
    y un mayor mysql.
    http://blog.metasploit.com/2010/05/introducing-metasploitable.html

    Owaspbwa Abierto De Seguridad De Aplicaciones Web
    Project (OWASP) Roto Web
    Proyecto de aplicaciones, una colección de
    vulnerables de aplicaciones web.
    http://code.google.com/p/owaspbwa/

    De Seguridad en la Web del Dojo de Un libre y de código abierto
    auto-contenida ambiente de entrenamiento
    para la Seguridad de Aplicaciones Web
    las pruebas de penetración. Herramientas + Blancos =
    Dojo
    http://www.mavensecurity.com/web_security_dojo/

    Lampsecurity LAMPSecurity formación es
    diseñado para ser una serie de vunlerable
    imágenes de la máquina virtual junto con
    documentación complementaria diseñado
    para enseñar linux,apache,php,mysql
    de seguridad.
    http://sourceforge.net/projects/lampsecurity/files/

    Damn Vulnerable Web App (DVWA) Maldito
    Vulnerable Web App es un PHP/MySQL web
    aplicación que es damn vulnerable.
    Sus principales objetivos son ser una ayuda para
    los profesionales de la seguridad a prueba sus
    habilidades y herramientas legales en un
    medio ambiente, ayudar a los desarrolladores web
    comprender mejor los procesos de
    proteger las aplicaciones web y la ayuda
    los profesores/estudiantes para enseñar/aprender en la web
    la seguridad de la aplicación en un salón de clases
    medio ambiente. http://www.dvwa.co.uk/

    Hacking-Lab Este es el Hacking-Lab
    LiveCD proyecto. Actualmente se encuentra en
    beta estadio. El live-cd es un
    estandarizado entorno de cliente para
    la solución de nuestros Hacking-Lab wargame
    retos del control remoto.
    http://www.hacking-lab.com/hl_livecd/

    Polilla Polilla es una imagen de VMware con un conjunto
    de vulnerables y Aplicaciones Web
    las secuencias de comandos que puede utilizar para:
    http://www.bonsai-sec.com/en/research/moth.php

    Damn Vulnerable Linux (DVL) Maldito
    Vulnerable Linux es todo lo que un buen
    Distribución de Linux no lo es. Su
    los desarrolladores han pasado horas relleno
    con rotos, mal configurado,
    anticuado, y aprovechar el software
    que la hace vulnerable a los ataques.
    DVL no está preparado para ejecutarse en el escritorio
    – es una herramienta de aprendizaje para la seguridad
    los estudiantes.
    http://www.damnvulnerablelinux.org

    pWnOS pWnOS está en una «Imagen de VM», que
    crea un destino en el que la práctica
    las pruebas de penetración; con el «final
    objetivo» es conseguir root. Fue diseñado
    para practicar el uso de exploits, con
    múltiples puntos de entrada
    http://www.backtrack-linux.org/forums/backtrack-videos/2748-%5Bvideo%5D-attacking-pwnos.html
    http://www.krash.in/bond00/pWnOS%20v1.0.zip

    Virtual de Hacking Laboratorio de Un espejo de
    deliberadamente inseguro aplicaciones y
    programas viejos conocidos
    vulnerabilidades. Se utiliza para
    prueba-de-concepto /seguridad
    el entrenamiento/aprendizaje. Disponible
    en cualquiera de las imágenes virtuales o iso live
    independiente o formatos.
    http://sourceforge.net/projects/virtualhacking/files/

    Badstore Badstore.net se dedica a
    para ayudarle a entender cómo los hackers
    presa de la aplicación Web
    vulnerabilidades, y mostrando
    cómo reducir su exposición.
    http://www.badstore.net/

    Katana Katana es un portátil multi-arranque
    suite de seguridad que reúne
    hoy en día muchos de los mejores de la seguridad
    distribuciones y portable
    las aplicaciones para que funcionen con un solo Flash
    De la unidad. Incluye las distribuciones que
    centrarse en la Pen-Testing, Auditoría,
    La Medicina Forense, La Recuperación Del Sistema, De La Red
    Análisis y Eliminación de Malware. Katana
    también viene con más de 100 portable
    Las aplicaciones de Windows, tales como
    Wireshark, Metasploit, NMAP, Caín &
    Poder, y muchos más.
    http://www.hackfromacave.com/katana.html

    OriginalEl autor Rory Alsop

Dejar respuesta

Please enter your comment!
Please enter your name here