Подборка ресурсов для проведения оценки средств поиска и эксплуатации уязвимостей

Сборки виртуальных машин:
– Широко известный дистрибутив DVL (Damn Vulnerable Linux), не требующий комментариев
– Сборка Moth, содержащая наборы уязвимых сценариев Web-приложений. Авторы предполагают использование своего творения под цели:
  • Проведения тестирования сканеров Web уязвимостей;
  • Тестирование статических и динамических анализаторов;
  • Использование дистрибутива при проведении соответствующего учебного курса.
- Сборка от OWASP - OWASP Broken Web Applications Virtual Machine (VM)
- Сборка Web Security Dojo - http://sourceforge.net/projects/websecuritydojo/
- Сборка Damn Vulnerable Web App (DVWA)
- Сборка от Google - Web Application Exploits and Defenses

Stand-alone сборки уязвимых Web-приложений:
OWASP SiteGenerator
OWASP WebGoat
OWASP Vicnum
OWASP InsecureWebApp
Stanford SecuriBench
SecuriBench Micro
Mutillidae
ButterFly
HacmeBank
BadStore

Древние сборки реальных приложений (в частности WEB):
- http://www.oldapps.com/

Подборка аналогичных online-ресурсов:
– Тестовые сайты от Acunetix (PHP, ASP, ASP.NET)
- Тестовый сайт от NT OBJECTives
- Тестовый сайт от SPI Dynamics (теперь уже от HP)
- Тестовый сайт от компании IBM
- И тестовый сайт от Cenzic
Автор: от

5 комментариев :

  1. Sonique17 июля 2009 г. в 16:50

    Спасибо за ссылки. Сам давно хочу написать туториал по прохождению подобных вещей.

    Есть еще от LAMP Security (lampsecurity.org/capture-the-flag-5 и (lampsecurity.org/captute-the-flag-4)

    ОтветитьУдалить
  2. Dmitry Evteev17 июля 2009 г. в 18:22

    угу, LAMP в копилку...

    ОтветитьУдалить
  3. Dmitry Evteev12 августа 2009 г. в 12:32

    повтыкал я по всем этим сборкам, в надежде выцепить, что нить полезное для HackQuest CC'09 (http://party.cc.org.ru/compos_general.php#rt_hackquest) и сильно разочаровался... пришел к выводу, что стоит подготовить свою "нормальную" подборку скриптов, демонстрирующих различные уязвимости в web, и выложить виртуалку в паблик...

    ОтветитьУдалить
  4. Dmitry Evteev7 января 2010 г. в 03:05

    (Robert Portvliet из рассылки WASC) Vulnerable WebApps:

    GOAT - http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project

    MOTH - http://www.bonsai-sec.com/en/research/moth.php

    Damn Vulnerable Web App - http://www.dvwa.co.uk/

    Mutillidae - http://www.irongeek.com/i.php?page=security/mutillidae-deliberately-vulnerable-php-owasp-top-10

    Hackme Bank - http://www.foundstone.com/us/resources/proddesc/hacmebank.htm

    Hackme Travel - http://www.foundstone.com/us/resources/proddesc/hacmetravel.htm

    Hackme Shipping -
    http://www.foundstone.com/us/resources/proddesc/hacmeshipping.htm

    Hackme Casino - http://www.foundstone.com/us/resources/proddesc/hacmecasino.htm

    ОтветитьУдалить
  5. Dmitry Evteev4 февраля 2010 г. в 01:06

    Accuracy and Time Costs of Web Application Security Scanner Report

    ОтветитьУдалить