15 sitios para practicar hacking (legalmente) este verano

Llega el verano, el calor infernal, la jornada intensiva y las siestas (para algunos afortunados), la piscina y la playa, los chiringuitos y las terracitas... y es relativamente difícil seguir enganchado a un ordenador, más aún una vez que se sale de la cueva ;). Pero para aquellos que aún mantengan la actitud inquebrantable de seguir practicando o tengan la necesidad de recuperar "asignaturas de hacking" para la vuelta al cole en septiembre, os dejo 15 sitios vulnerables para practicar (no sólo inyecciones SQL) que ví en la web de Arkdots:

1. BWAPP

Buggy Web Application de Malik Mesellem es una aplicación web con bugs diseñada para que practiquen estudiantes y pen-testers. Ofrece todos los posibles errores conocidos incluyendo los del proyecto OWASP Top 10 y más de 100 vulnerabilidades. Es una aplicación basada en PHP que utiliza como base de datos MySQL. Puede usarse en Linux o Windows. También ofrece tutoriales. Puede descargarlo desde http://www.itsecgames.com/.

2. Damn Vulnerable iOS application (DVIA)

Esta es una de las pocas aplicaciones móviles para desarrolladores de aplicaciones móviles de iOS. DVIA cubre casi todas las posibles vulnerabilidades y está especialmente diseñada para poner a prueba de forma legal las habilidades de intrusión en aplicaciones iOS. Funciona con iOS versión 7 y superior. También ofrece formación y soluciones a la mayoría de los problemas que los desarrolladores de iOS se enfrentan. Puedes aprender más sobre DVIA en http://damnvulnerableiosapp.com/.

3. Game of Hacks

Game of Hacks es en realidad un juego para probar las habilidades para encontrar bugs y vulnerabilidades en código. Se tienen que cumplir ciertos hitos en un tiempo limitado y se puede añadir tu propio código para obtener retroalimentación de otros jugadores. Se puede jugar a Game of Hacks como un solo jugador o desafiar a un amigo. Ofrecen tres niveles diferentes (principiante, wannabe,y avanzado). Puedes jugar a este juego aquí: http://www.gameofhacks.com/.

4. Google Gruyere

Google Gruyere ayuda en el aprendizaje de tres habilidades básicas:

- encontrar vulnerabilidades de seguridad.
- aprender a aprovechar estas vulnerabilidades como un hacker profesional
- aprender a ocultar bugs y vulnerabilidades a los hackers

Podemos encontrar varios errores de seguridad en Gruyere: XSS (Cross site scripting), XSSI (Cross site script inclusion), DOS (denegación de servicio), filtrado de información y ejecución remota de código. Este codelab se diseñó para aprender a encontrar estos errores y arreglarlos tanto en un entorno real como en Google Gruyere. Para más información visita el sitio web oficial de Google Gruyere: https://google-gruyere.appspot.com/.

5. HackThis !!

Con HackThis !! se puede aprender mucho acerca de la seguridad del sitio web propio. Ofrecen más de 50 niveles que cubren todos los aspectos de hacking, dumping y defaces de un sitio web. También tienen un foro con numerosos usuarios activos y artículos. Es posible registrarse en su sitio web utilizando la cuenta de Facebook o correo electrónico. Puedes visitar su sitio web oficial en https://www.hackthis.co.uk/.

6. Hack this site

Hack this site es una gran plataforma para aumentar las habilidades de hacking. Tienen una gran variedad de retos para practicar. También tienen un gran blog y un foro activo. Puede visitar su sitio web oficial en https://www.hackthissite.org/.

7. Hellbound Hackers

Hellbound Hackers es una gran fuente de información con un montón de retos para aprender a identificar y solucionar problemas en el código. Sus artículos son muy informativos. El foro de Hellbound Hackers es también muy activo. Para más info visita su sitio web oficial: https://www.hellboundhackers.org/.

8. McAfee HacMe Sites

McAfee tiene un buen número de sitios que ofrecen escenarios reales con problemas de la vida real. Tienen una amplia variedad de aplicaciones de viajes, envío, casino, banco y muchas más. Cada proyecto tiene su propio conjunto de vulnerabilidades y desafíos.

Puedes buscar "sitios de McAfee HacMe" en Google para descargar Hacme Bank, Hacme Books, Hacme Bank para Android, Hacme Casino, Hacme Shipping y Hacme Travel.

9. Mutillidae 2

El proyecto OWASP Mutillidae 2 es una aplicación web deliberadamente vulnerable para los auditores y entusiastas de la seguridad. Es ampliamente utilizado en cursos de seguridad en todo el mundo. Mutillidae se puede utilizar en Linux y Windows. También ofrece sugerencias para los estudiantes que lo hace fácil de usar. Puedes descargar Mutillidae 2 y aprender más sobre el mismo en su página web oficial: https://www.owasp.org/index.php/OWASP_Mutillidae_2_Project.

10. OverTheWire

OverTheWire es una forma divertida de practicar y aprender conceptos de seguridad web y de aplicaciones. Ofrecen juegos con niveles desde principiante a avanzado. Puedes comenzar con bandit que es bastante fácil antes de avanzar a los más difíciles como el laberinto, drifter, semtex y manpage. Cada juego es diferente de sus predecesores. Puedes jugar haciendo clic aquí: http://overthewire.org/wargames/.

11. Peruggia

Peruggia es otra plataforma para aprender sobre ataques comunes y defensa en aplicaciones web. Es una forma totalmente segura y legal para practicar y te ayudará a localizar y resolver problemas en sitios web para limitar el riesgo de seguridad. Puedes descargar peruggia desde https://sourceforge.net/projects/peruggia/.

12. Root Me

Root Me ofrece más de 250 retos únicos y más de 50 entornos virtuales para practicar tus habilidades de hacking. Todos estos retos pedirán que se practiquen casi 1900 soluciones para mejorar. Para más info visita el sitio web oficial: https://www.root-me.org/?lang=en.

13. Try2Hack

Try2Hack es uno de los sitios más antiguos para practicar hacking y skills de seguridad. Ofrecen un montón de retos para mejorar las habilidades para localizar y solucionar el problema. Tienes que seguir las reglas establecidas por el admin para practicar en Try2Hack. También puedes unirte al canal IRC para hacer preguntas para encontrar ayuda. Puedes comenzar desde su sitio web oficial: http://www.try2hack.nl/.

14. Vicnum

Vicnum es un proyecto de OWASP que consiste en juegos basados ​​en aplicaciones web vulnerables. Puede practicar XSS y SQL. También se puede ajustar esta aplicación para adaptarse a un requisito específico propio que lo hace mejor para los profesores. Puedes ver el CTF y jugar en su sitio web oficial: http://vicnum.ciphertechs.com/.

15. WebGoat

WebGoat es uno de los proyectos más populares de OWASP. Está diseñado deliberadamente con muchas vulnerabilidades para enseñar la seguridad de las aplicaciones web. Esta es una buena fuente para el aprendizaje de seguridad de aplicaciones web complejas en un entorno realista. Puedes instalarlo en Linux, OSX y Windows. WebGoat también tiene dos versiones diferentes para .NET y J2EE. Puedes descargar y obtener más información sobre WebGoat desde su sitio web oficial: https://github.com/WebGoat/WebGoat.

pd. Se agradecen comentarios con sitios adicionales :)

4 comentarios :

  1. Otro sería HackTheBox, que el ticket de entrada hay que realizar un pequeño CTF también. :)

    ResponderEliminar
  2. El bee-box (bwapp) de itsec sería otro buen ejemplo :)
    http://www.itsecgames.com/

    ResponderEliminar
  3. http://pwnable.kr/ es otra opción interesante de tipo wargames.

    ResponderEliminar
  4. uno que ya lleva mucho años de latinoamerica es yashira.org

    ResponderEliminar