Aplicações WEB vulneráveis para testes práticos

Publicado por Luiz Vieira em 05/02/2010

[ Hits: 18.657 ]

Blog: http://hackproofing.blogspot.com/

 


Aplicações WEB vulneráveis para testes práticos



Nessa pequena dica criei uma lista de aplicações WEB vulneráveis para que os profissionais de segurança possam realizar testes realistas sem comprometer sistemas.

A prática faz o mestre, mas no campo da segurança da informação, se praticamos em aplicações ou servidores de terceiros, podemos chegar a ter problemas com a lei. Por esse motivo existem ferramentas como Damn Vulnerable Web App, uma aplicação web vulnerável que permite colocarmos à prova nossos conhecimentos sobre segurança de aplicações web. No entanto, a DVWA não é a única aplicação deste tipo existente. Abaixo compartilho com vocês algumas das aplicações web vulneráveis que servem para o mesmo propósito que a DVWA:
  • WebGoat é uma aplicação web J2EE deliberadamente vulnerável, mantida por OWASP e desenvolvida para ensinar lições de segurança em aplicações web.
  • Moth é uma imagem do VMware que contém um conjunto de aplicações web e scripts vulneráveis, que podem ser utilizados para testes com scanners de vulnerabilidades em aplicações web, ferramentas de análise de código estático (SCA), dar cursos introdutórios de segurança de aplicações web.
  • BadStore é uma aplicação web para loja virtual que inclui de maneira intencional diferentes falhas de segurança para provar nossos conhecimentos e ferramentas sobre segurança.
  • WebMaven é um ambiente interativo de segurança web que emula várias das falhas mais comuns nas aplicações web.
  • SecuriBench é uma aplicação escrita em java na Universidade de Stanford que inclui as seguintes vulnerabilidades: SQL injection attacks, Cross-site scripting attacks, HTTP splitting attacks e Path traversal attacks, para praticarmos com elas.
  • Mutillidae é um conjunto de scripts vulneráveis escritos em PHP, diferentemente de outras aplicações do mesmo tipo, Mutillidae se diferencia pela simplicidade de seu código, focado nos desenvolvedores iniciantes de aplicações web.
  • SÉRIE HACME, a série Hacme é um conjunto de aplicações web temáticas escritas por Foundstone, que possuem em seu código, de forma deliberada, muitas vulnerabilidades web para que pratiquemos nossos conhecimentos sobre segurança web, dentro dessa série temos um aplicativo web de um cassino Hacme Casino, uma aplicação web de loja virtual Hacme Shipping, um sistema de viagens Hacme Travel e uma aplicação web que simula um banco Hacme Bank.

Se conheceres outras aplicações web desse tipo que não constam na lista acima, deixe um comentário que possamos lançar uma continuação do artigo aqui no VOL.

Abraço a todos!

Outras dicas deste autor

Lançada edição n. 13 da Revista Espírito Livre

Aprendendo a programar em Python, Ruby, PHP e outras linguagens (de graça)

Atualização do conteúdo da certificação LPI I e II

Slides da Oficina "Assembly para Linux"

Como detectar e prevenir escalada de privilégios no GNU/Linux

Leitura recomendada

Entrando no mundo Open Source

Como desativar barulho chato do Manjaro XFCE ao apertar botão backspace

Como adicionar swap no Linux CentOS 7 usando espaço de um Volume Group

Como configurar placa de video NVIDIA ( principalmente para a distribuição Debian )

Razor QT um novo desktop leve

  

Comentários
[1] Comentário enviado por port80.is em 20/10/2010 - 08:32h

Estou começando agora na area e seus artigos são bem objetivos, obrigado mesmo. Tenho somente una dúvida, em outra lista você colocou alguns sites de banco que são para treinar tambem, somente queria saber se posso nesses sites usar todas as ferramentas, como nmap, netcat, nessus e outras, ou somente são para testes especificos.Obrigado mas uma vez por as dicas.

[2] Comentário enviado por tortugo em 15/02/2011 - 13:38h

Ótima dica.

[3] Comentário enviado por ricardolongatto em 07/01/2012 - 23:59h

valew luiz
abraço



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts