Je nachdem, was Sie als "online" bezeichnen, zeigt eine einfache Google-Suche nach "verdammt anfällig" die Existenz frei herunterladbarer Anwendungen mit sogar vollem Betriebssystem, mit denen Sie lernen können, wie Software schrecklich anfällig sein kann. Eine davon ist Damn Vulnerable Web App, eine verdammt anfällige Web-App. Es gab auch ein vollständiges Betriebssystem namens Damn Vulnerable Linux; Es wird anscheinend eingestellt (obwohl natürlich das Fehlen von Sicherheitspatches der Grund dafür war), aber diese Frage behandelt Ersetzungen.

Dies sind keine "Online-Maschinen", die Sie hacken können. Sie können sie jedoch herunterladen und auf einer virtuellen Maschine auf Ihrem eigenen Computer installieren. Dies ist kostenlos (es gibt gute kostenlose VM-Lösungen, z. B. VirtualBox) und viel flexibler als eine Online-Maschine Ziel; Es wird Ihnen mehr beibringen, da Sie es nach Belieben ändern und zurücksetzen können.

Alle diese Ressourcen unterliegen Veralterung, Änderung und Ersetzung. Daher ist es wichtig, die richtigen Schlüsselwörter für die Suche anzugeben . Und diese Schlüsselwörter sind "verdammt anfällig".

Dies sind alles, was ich empfehle.

Sicherheitsanfälligkeit im Web
1. Webgoat ( Empfehlung ) - https: // www.owasp.org/index.php/Category:OWASP_WebGoat_Project
2. EnigmaGroup ( WarGame ) - http: // www. enigmagroup.org
3. Mutillidae ( gut ) http://sourceforge.net/projects/mutillidae/
4. DVWA ( nicht so gut ) http://www.dvwa.co.uk/

Betriebssystemanfälligkeit
5. Metasploitable ( Empfehlen ) - http://sourceforge.net/projects/metasploitable/files/Metasploitable2/
6. Exploit-Übungen ( Sehr gut ) https://exploit-exercises.com/
7. HowToForge ( Spezifisch )

Ich habe versucht, eine Liste nützlicher Ressourcen für Sicherheitsbegeisterte auf meiner persönlichen Website zu führen. Hier ist ein Teil davon:

Sicherheit von Webanwendungen

• Handbuch zur Browsersicherheit - Von Michal Zalewski
• Google Gruyere - Ausnutzung und Verteidigung von Webanwendungen - eine kleine, kitschige Webanwendung, mit der Benutzer Textausschnitte veröffentlichen und verschiedene Dateien speichern können.
• Googles XSS-Spiel - In diesem Schulungsprogramm lernen Sie, XSS-Fehler zu finden und auszunutzen.
• Verdammt anfällige Webanwendung (DVWA) - eine Hilfe für Sicherheitsexperten, um ihre Fähigkeiten und Tools in einem rechtlichen Umfeld zu testen, Webentwicklern zu helfen, die Prozesse zum Sichern von Webanwendungen besser zu verstehen, und Lehrern / Schülern zu helfen, Webanwendungssicherheit in einer Klassenzimmerumgebung zu lehren / zu lernen

Memory Exploits

• David Brumleys Vorlesungsunterlagen zu Exploits und Control Flow Hijack Defenses
• Kurs über Software-Sicherheit der University of Maryland zu Coursera - Erforscht die Grundlagen der Software-Sicherheit und behandelt wichtige (und häufig auftretende) Software-Schwachstellen wie Pufferüberläufe, SQL-Injection und Sitzungsentführung
• Embedded Security CTF - Sie haben Zugriff auf ein Gerät erhalten, das eine Sperre steuert. Ihre Aufgabe: Beseitigen Sie die Sperre, indem Sie Fehler im Gerätecode ausnutzen.

Bücher

• Das Handbuch für Webanwendungs-Hacker: Auffinden und Ausnutzen von Sicherheitslücken - Amazon Link

Sie finden Plattformen, die sogenannte Wargames anbieten, wie z. B. OverTheWire.

In solchen Spielen haben Sie einen SSH-Zugriff auf einen öffentlichen Computer mit benutzerdefinierter anfälliger Software, die Sie ausnutzen müssen, um weiter voranzukommen.

Es gibt eine polnische Plattform: rozwal.to .

Der Name auf Englisch bedeutet "destroy.it". Es gibt ungefähr 50 Aufgaben, die je nach Können und Thema variieren (XSS, Injections, SQLi, Steganogrpahy, Bitcoins usw.).

Der große Vorteil ist, dass Sie nichts installieren müssen Öffnen Sie einfach die Seiten und hacken Sie sie.

Es hat auch ein Ranking, damit Sie Ihre Fähigkeiten mit anderen vergleichen können.