漏洞基础原理
SQL注入 sqli-labs
项目地址:https://github.com/Audi-1/sqli-labs
Sqli-labs 是一个开源且全面的 SQL 注入练习靶场,手工注入必备的练习环境
文件上传 upload-labs
项目地址:https://github.com/c0ny1/upload-labs
upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。
DVWA
项目地址:https://dvwa.co.uk/
DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
Webgoat
WebGoat是OWASP组织研制出的用于进行web漏洞实验的Java靶场程序,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程,某些课程也给出了视频演示,指导用户利用这些漏洞进行攻击。建议使用Docker进行部署。
Pikachu
项目地址:https://github.com/zhuifengshaonianhanlu/pikachu
一个有趣的国内漏洞学习平台。
漏洞复现
下面的几个漏洞复现平台都大同小异,方便进行漏洞复现学习,和防御能力的覆盖性验证。
vulfocus
项目地址: http://vulfocus.fofa.so
因为 Vulfocus 一个漏洞集成平台,所以可以无限向里添加漏洞环境没有限制,前提是你的内存足够大。因为漏洞环境是docker镜像的原因每次重新启动漏洞环境都会还原,不用出现你会对环境造成破坏下次无法启动的现象。
vulhub
项目地址:https://vulhub.org/
Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。
Vulapps
项目地址:http://vulapps.evalbug.com/
实战靶场
hackthebox
项目地址:https://www.hackthebox.com/
国外知名靶机测试平台。
Vulnstack
项目地址:http://vulnstack.qiyuanxuetang.net/vuln/
目前有七个靶场,实战性强,覆盖率渗透测试全流程,对相关攻击技术映射了ATT&CK矩阵。
Vulhub--CENGBOX系列
项目地址:https://www.vulnhub.com/entry/cengbox-1,475/
下载配置好的虚拟机镜像,使用虚拟机软件打开即可。
