渗透测试之路（一）- 渗透测试网站、有效的资源和博客汇总

一、网站

1、国外

1.1、bWAPP
免费和开源的web应用程序安全项目。它有助于安全爱好者及研究人员发现和防止web漏洞。

地址：http://www.itsecgames.com/

 

1.2、Damn Vulnerable iOS App (DVIA)

DVIA是一个iOS安全的应用。它的主要目标给移动安全爱好者学习iOS的渗透测试技巧提供一个合法的平台。APP涵盖了所有常见的iOS安全漏洞，它免费并开放源码,漏洞测试和解决方案覆盖到iOS 10版本。

地址：http://damnvulnerableiosapp.com/

 

1.3、Damn Vulnerable Web Application (DVWA)

基于 php 和 mysql 的虚拟 Web 应用，“内置”常见的 Web 漏洞，如 SQL 注入、xss 之类，可以搭建在自己的电脑上

地址：http://www.dvwa.co.uk/

 

1.4、Game of Hacks
基于游戏的方式来测试你的安全技术，每个任务题目提供了大量的代码,其中可能有也可能没有安全漏洞！

地址：http://www.gameofhacks.com/

 

1.5、Google Gruyere
一个看起来很low的网址，但充满了漏洞,目的是为了帮助那些刚开始学习应用程序安全性的人员。

地址：http://google-gruyere.appspot.com/

 

1.6、HackThis!!
旨在教你如何破解、转储和涂改,以及保护网站的黑客技巧，提供超过50种不同的难度水平。

地址：https://www.hackthis.co.uk/

 

1.7、Hack This Site
是一个合法和安全的测试黑客技能的网站，并包含黑客资讯、文章、论坛和教程,旨在帮助你学习黑客技术。

地址：https://www.hackthissite.org/

 

1.8、Hellbound Hackers
提供了各种各样的安全实践方法和挑战,目的是教你如何识别攻击和代码的补丁建议。主题包含应用程序加密和破解,社工和rooting。社区有接近10万的注册会员,也是最大的一个黑客社区之一。

地址：https://www.hellboundhackers.org/

 

1.9、McAfee HacMe Sites
迈克菲提供的各类黑客及安全测试工具

地址：http://www.mcafee.com/us/downloads/free-tools/index.aspx

 

1.10、Mutillidae
mutillidaemutillidae是一个免费，开源的Web应用程序，提供专门被允许的安全测试和入侵的Web应用程序 。其中包含了丰富的渗透测试项目，如SQL注入、跨站脚本、clickjacking、本地文件包含、远程代码执行等.

地址：https://sourceforge.net/projects/mutillidae/

 

1.11、OverTheWire
基于游戏的让你学习安全技术和概念的黑客网站

地址：http://overthewire.org/wargames/

 

1.12、Peruggia
一个提供安全、合法攻击的黑客网站

地址：https://sourceforge.net/projects/peruggia/

 

1.13、Root Me
通过超过200名黑客的挑战和50个虚拟环境来提高你黑客技巧和网络安全知识的网站

地址：https://www.root-me.org/

 

1.14、Try2Hack
最古老的黑客网站之一,提供多种安全挑战。

地址：http://www.try2hack.nl/

 

1.15、Vicnum
OWASP项目之一，简单框架,针对不同的需求，并基于游戏的方式来引导安全开发者学习安全技术。

地址：http://vicnum.ciphertechs.com/

 

1.16、WebGoat
最受欢迎的OWASP项目，提供了一个真实的安全教学环境，指导用户设计复杂的应用程序安全问题

地址：http://webappsecmovies.sourceforge.net/webgoat/

 

2、国内

2.1、i春秋

国内比较好的安全知识在线学习平台，把复杂的操作系统、工具和网络环境完整的在网页进行重现，为学习者提供完全贴近实际环境的实验平台，

地址：http://www.ichunqiu.com/main

 

2.2、XCTF_OJ 练习平台

XCTF-OJ （X Capture The Flag Online Judge）是由XCTF组委会组织开发并面向XCTF联赛参赛者提供的网络安全技术对抗赛练习平台。XCTF-OJ平台将汇集国内外CTF网络安全竞赛的真题题库，并支持对部分可获取在线题目交互环境的重现恢复，XCTF联赛后续赛事在赛后也会把赛题离线文件和在线交互环境汇总至XCTF-OJ平台，形成目前全球CTF社区唯一一个提供赛题重现复盘练习环境的站点资源。

地址：http://oj.xctf.org.cn/

 

2.3、网络信息安全攻防学习平台

提供基础知识考查、漏洞实战演练、教程等资料。实战演练以 Web 题为主，包含基础关、脚本关、注入关、上传关、解密关、综合关等。

地址：http://hackinglab.cn/index.php

 

二、有效的资源和博客

Carnal0wnage

这个博客是由一个攻击研究团队维护的，是渗透测试人员最好的信息来源之一，博客上发布了渗透测试技术、发现、新闻等等。该团队在Black Hat上开设了培训课程。

PentestGeek

2012年开始活跃，PentestGeek博客致力于分享作者的经验。通过它也可以了解在大公司工作的经验丰富的渗透测试者的每日工作。

Darknet

1999年从一个IRC频道开始发展壮大，目前是一个定期更新的博客，讨论最新的渗透测试新闻、工具和技术，有30,000多个用户。

Lanmaster53

Tim Tomes维护的博客，Tim在博客中会详细描述他的研究成果，博客内容覆盖从Linux Shells、DEFCON badge hacking到AppSec hacks。

Marco Ramilli

Marco是一个安全研究者和白帽黑客。他在教育界也很有名气，在数十年的工作经历中担任了各种教授和研究员职位。他的博客是对他的知识的扩展，Macro在博客上记录他发现的一些绝妙的技术。

Common Exploits

由Daniel Compton维护，他是有20年的透测试经验的专家，Common Exploits旨在分享Daniel的技术，工具、漏洞利用方面的新闻，以及其它渗透测试领域的内容。

SANS Penetration Testing Blog

SANS对于应用程序安全方面的人来说是一个非常好的资源。这个博客上可以找到各种渗透测试任务和挑战，用于测试你的能力，也会发布特定的渗透测试工具和技术。

Trail of Bits Blog

由维护Trails of Bits的团队写的博客，这是一个在攻防领域都很专业的安全公司，这个博客收集了他们分享的知识，帮助企业改进或修复安全问题。

DigiNinja

Digininja对渗透测试者来说是一个必须要知道的资源，主要关注Metasploit、Wifi和网络，Digininja是信息安全领域的人必读的网站。

Ethical Hacking LinkedIn Group

最好的获取最新渗透测试新闻的办法是，在你喜欢的社交网站中，加入到一个组里面或者关注渗透测试大牛。Ethical Hacking group是众多社区中的一个，你可以加入并分享你自己的渗透测试资源。

EHacking.net

对所有渗透测试相关人员来说是一个非常棒的资源，Ehacking.net是又一个必须加入到书签的网站。

Seclists.org

现在，依然有一部分信息安全社区依靠邮件列表获取信息，尽管这看起来有些过时。Nmap Security Scanner人员运营着Seclists.org网站，提供了受欢迎的邮件列表的清单。不管是菜鸟还是渗透测试专家都可以找到适合自己的邮件列表。

Kitploit

如果你在寻找特定类型的工具，你可以在Kitploit网站上找到。这里是渗透测试工具的宝库，把它加入到你的书签吧。

 

参考来源：

https://blog.csdn.net/bfboys/article/details/60769473