kaiiyer/awesome-vulnerable

# Awesome Vulnerable [](https://github.com/sindresorhus/awesome)   [](https://github.com/kaiiyer/awesome-vulnerable/stargazers) [](https://GitHub.com/kaiiyer/awesome-vulnerable/issues/) [](https://GitHub.com/kaiiyer/awesome-vulnerable/pull/) [](https://GitHub.com/kaiiyer/awesome-vulnerable/graphs/contributors/)  *一份精心整理的可用作渗透测试练习实验室的脆弱 APP 和系统列表。此列表旨在帮助初学者和专业人士测试并提升他们的渗透技能。* # 目录 - [脆弱的 Web 应用程序](#Vulnerable-Web-Applications) - [安全测试软件供应商网站](#Sites-by-Vendors-of-Security-Testing-Software) - [各种软件历史版本下载网站](#Sites-for-Downloading-Older-Versions-of-Various-Software) - [提升黑客技能的网站](#Sites-for-Improving-Your-Hacking-Skills) - [实验室](#Labs) - [移动应用程序](#Mobile-Apps) ## 脆弱的 Web 应用程序 - [BadStore](https://www.vulnhub.com/entry/badstore-123,41/) - Badstore.net 致力于帮助您了解黑客如何利用 Web 应用程序漏洞，并向您展示如何降低风险。我们的 Badstore 演示软件旨在向您展示常见的黑客技术。 - [BodgeIt Store](http://code.google.com/p/bodgeit/) - BodgeIt Store 是一个脆弱的 Web 应用程序，目前主要面向刚接触渗透测试的人员。 - [Bug Bounty Hunter](https://bugbountyhunter.com/) - BugBountyHunter 是由 Bug Bounty Hunter zseano 创建的培训平台，旨在帮助您全面了解 Web 应用程序漏洞以及如何入门。 - [Butterfly Security Project](http://thebutterflytmp.sourceforge.net/) - ButterFly 项目是一个教育环境，旨在让用户深入了解常见的 Web 应用程序和 PHP 漏洞。该环境还包含了演示如何缓解此类漏洞的示例。 - [bWAPP](http://sourceforge.net/projects/bwapp/files/bee-box/) - bee-box 是一个预装了 bWAPP 的自定义 Linux 虚拟机。 - [Vulert](Vulert.com) - Vulert 通过检测开源依赖项中的漏洞来保护软件安全——无需访问您的代码。它支持 Js、PHP、Java、Python 等。 - [CloudGoat](https://github.com/RhinoSecurityLabs/cloudgoat.git) - CloudGoat 是 Rhino Security Labs 的“故意设计为脆弱”的 AWS 部署工具 - [Commix](https://github.com/stasinopoulos/commix-testbed) - 一组包含命令注入漏洞的网页集合。 - [CryptOMG](https://github.com/SpiderLabs/CryptOMG) - CryptOMG 是一个可配置的 CTF 风格测试平台，重点突出了加密实现中的常见缺陷。 - [CTFchallenge](https://ctfchallenge.com/) - CTFchallenge 是包含 12 个脆弱 Web 应用程序的集合，每个应用程序都拥有建立在多个子域名之上的真实基础设施，其中包含基于 Bug 报告、真实世界经验或在 OWASP Top 10 中发现的漏洞。 - [Damn Vulnerable Cloud Application](https://github.com/m6a-UdS/dvca.git) - Damn Vulnerable Cloud Application - [Damn Vulnerable Node Application(DVNA)](https://github.com/appsecco/dvna) - Damn Vulnerable NodeJS Application - [Damn Vulnerable Web App (DVWA)](http://www.dvwa.co.uk/) - Damn Vulnerablbe Web Application - [Damn Vulnerable Web Services (DVWS)](https://github.com/snoopysecurity/dvws) - Damn Vulnerable Web Services 是一个不安全的 Web 应用程序，包含多个可用于学习真实世界 Web 服务漏洞的脆弱 Web 服务组件。 - [Firing Range](https://public-firing-range.appspot.com/) - 由 Google 创建的用于自动化 Web 应用程序安全扫描器的测试平台。 - [Foundstone Hackme Bank](https://www.mcafee.com/us/downloads/free-tools/hacme-bank.aspx) - 免费的 McAfee 工具，以协助您的安全防护。 - [Foundstone Hackme Books](https://www.mcafee.com/us/downloads/free-tools/hacmebooks.aspx) - 免费的 McAfee 工具，以协助您的安全防护。 - [Foundstone Hackme Casino](httsp://www.mcafee.com/us/downloads/free-tools/hacme-casino.aspx)- 免费的 McAfee 工具，以协助您的安全防护。 - [Foundstone Hackme Shipping](https://www.mcafee.com/us/downloads/free-tools/hacmeshipping.aspx) - 免费的 McAfee 工具，以协助您的安全防护。 - [Foundstone Hackme Travel](https://www.mcafee.com/us/downloads/free-tools/hacmetravel.aspx) - 免费的 McAfee 工具，以协助您的安全防护。 - [GameOver](https://sourceforge.net/projects/null-gameover/) - Project GameOver 的创立初衷是培训和指导新手了解 Web 安全基础知识，教育他们认识常见的 Web 攻击并帮助他们理解这些攻击的运作原理。 - [hackxor](https://hackxor.sourceforge.net/cgi-bin/index.pl) - Hackxor 是一款真实的 Web 应用程序黑客攻击游戏，旨在帮助各种水平的玩家提升技能。所有的任务都是基于我在进行渗透测试、Bug Bounty 挖寻和研究时亲自发现的真实漏洞。 - [Hackazon](https://github.com/rapid7/hackazon) - 一个现代化的脆弱 Web 应用程序 - [LAMPSecurity](http://sourceforge.net/projects/lampsecurity/) - LAMPSecurity 培训旨在提供一系列脆弱的虚拟机镜像以及配套文档，以教授 Linux、Apache、PHP、MySQL 安全。 - [OWASP Mantra](https://sourceforge.net/projects/getmantra/) - 免费且开源的基于浏览器的安全框架，它集成了各种免费和开源工具到 Web 浏览器中，对于渗透测试人员、Web 应用程序开发人员和安全专业人员等非常实用。 - [NOWASP / Mutillidae 2](https://github.com/webpwnized/mutillidae) - OWASP Mutillidae II 是一个免费、开源、故意设计为脆弱的 Web 应用程序，为 Web 安全爱好者提供了一个靶机。 - [OSS – OopsSec Store](https://github.com/kOaDT/oss-oopssec-store) - 一个使用 Next.js 和 React 构建的开源、故意脆弱的电子商务应用。提供了一个真实的 CTF 平台来学习 Web 应用安全测试。可以使用 `npx create-oss-store` 快速搭建。 - [OWASP BWA](http://code.google.com/p/owaspbwa/) - 一组脆弱的 Web 应用程序集合，以 VMware 格式的虚拟机分发，与其免费的 VMware Player 和 VMware vSphere Hypervisor (ESXi) 产品兼容（同时支持其旧版和商业产品）。 - [OWASP Hackademic](https://github.com/Hackademic/hackademic/) - 该项目帮助您测试 Web 应用程序安全方面的知识。您可以在一个既真实又可控且安全的环境中实际攻击 Web 应用程序。 - [OWASP SiteGenerator](https://www.owasp.org/index.php/Owasp_SiteGenerator) - OWASP SiteGenerator 允许基于 XML 文件和预定义的漏洞（有些简单，有些复杂）创建动态网站，涵盖 .Net 语言和 Web 开发架构（例如导航：HTML、JavaScript、Flash、Java 等）。 - [OWASP Bricks](https://sourceforge.net/projects/owaspbricks/) - 基于 PHP 和 MySQL 构建的 Web 应用程序安全学习平台 - [OWASP Security Shepherd](https://www.owasp.org/index.php/OWASP_Security_Shepherd) - OWASP Security Shepherd 是一个 Web 和移动应用程序安全培训平台。Security Shepherd 旨在培养和提高不同技能水平人群的安全意识 - [PentesterLab](https://pentesterlab.com/) - 我们让学习 Web 黑客技术变得更容易！ - [SecuriBench](https://suif.stanford.edu/~livshits/securibench/) - 斯坦福大学的 SecuriBench 是一组开源的真实程序，用作静态和动态安全工具的测试基础。发布的 .91a 版本侧重于使用 Java 编写的基于 Web 的应用程序。 - [SentinelTestbed](https://github.com/dobin/SentinelTestbed) - 脆弱的网站。用于测试哨兵功能。 - [SocketToMe](http://digi.ninja/projects/sockettome.php) - 它结合了聊天、简单的猜数字游戏以及其他一些隐藏功能 - [sqli-labs](https://github.com/Audi-1/sqli-labs) - SQLI 实验室，用于测试基于错误、基于布尔盲注和时间盲注。 - [MCIR (Magical Code Injection Rainbow)](https://github.com/SpiderLabs/MCIR) - Magical Code Injection Rainbow！MCIR 是一个用于构建可配置漏洞测试平台的框架。MCIR 同时也是一组可配置的漏洞测试平台集合 - [Sqlilabs](https://github.com/himadriganguly/sqlilabs) - 用于学习 SQL 注入技术的实验室设置 - [VulnApp](https://www.nth-dimension.org.uk/blog.php?id=88) - 实现了我们在渗透测试过程中遇到的一些最常见应用程序的 ASP.net 应用程序 - [VulnLab](https://github.com/Yavuzlar/VulnLab) - 使用 Docker 的脆弱 Web 应用程序实验室 - [PuzzleMall](https://code.google.com/p/puzzlemall/) - 一个用于练习会话困惑的脆弱 Web 应用程序 - [WackoPicko](https://github.com/adamdoupe/WackoPicko) - WackoPicko 是一个用于测试 Web 应用程序漏洞扫描器的脆弱 Web 应用程序 - [WebGoat.NET](https://github.com/jerryhoff/WebGoat.NET/) - 这个 Web 应用程序是一个学习平台，旨在教授常见的 Web 安全缺陷它包含了适用于大多数 Web 应用程序的通用安全缺陷 - [OWASP WebGoat8](https://github.com/webgoat/webgoat) - OWASP Webgoat 8 是一个尝试教授常见 Web 安全漏洞的学习平台。它包含了适用于大多数 Web 应用程序的通用安全缺陷，使用 Java 编写并得到积极维护。 - [OWASP WrongSecrets](https://github.com/commjoen/wrongsecrets) - OWASP WrongSecrets 是一个演示如何错误存储机密信息的脆弱应用，可帮助您提高寻找机密信息的技能。 - [WebSecurity Dojo](https://www.mavensecurity.com/web_security_dojo/) - 一个免费、开源、自包含的 Web 应用程序安全渗透测试培训环境。工具 + 靶标 = 道场 - [XVWA](https://github.com/s4n7h0/xvwa) - XVWA 是一个使用 PHP/MySQL 编写的包含大量不良代码的 Web 应用程序，可帮助安全爱好者学习应用程序安全。 - [Zap WAVE](https://code.google.com/p/zaproxy/downloads/detail?name=zap-wave-0.1.zip) - 一款易于使用的一体化渗透测试工具，用于发现 Web 应用程序中的漏洞 - [Web-Security Academy](https://portswigger.net/web-security) - 一个由 Portswigger 提供的免费平台，通过练习实验室和学习资料学习和测试您的 Web 应用程序安全技能 - [OWASP Juice Shop](https://github.com/juice-shop/juice-shop) - 一个用于测试 Web 应用程序安全技能的开源平台。该应用程序包含大量不同难度的黑客挑战 - [tegal1337/0l4bs](https://github.com/tegal1337/0l4bs) - 面向 Web 应用程序安全爱好者的跨站脚本攻击 (XSS) 实验室 - [tegal1337/br0w](https://github.com/tegal1337/br0w) - Hack The Br0w。玩转您的浏览器并学到更多，体验有趣黑客技术！ - [Pentest-Ground](https://pentest-ground.com/) - 包含几个脆弱 Web 应用程序的渗透测试游乐场。 - [Unguard](https://github.com/dynatrace-oss/unguard) - 一个用于 Kubernetes 的不安全云原生微服务演示应用程序。Unguard 包含脆弱的 Java、.NET、Node.js、Go 和 PHP 服务，MariaDB 和 Redis 数据库，一个 Envoy 代理以及一个负载生成器。 - [Duck Store](https://duck-store.escape.tech/) ## 各种软件历史版本下载网站 - [Exploit-DB](http://www.exploit-db.com/) - Exploit Database 由 Offensive Security 维护，这是一家信息安全培训公司，提供各种信息安全认证以及高端的渗透测试服务 - [Old Apps](http://www.oldapps.com/) - 为我们的用户免费提供广泛的熟悉软件的当前版本及其前身版本 - [Old Version](http://www.oldversion.com/) - 选择一个软件标题……降级到您喜欢的版本！ - [VirtualHacking Repo ](https://sourceforge.net/projects/virtualhacking/files/apps@realworld/) - 虚拟黑客实验室 - [All Version](http://www.PortableApps.com/) - PortableApps 是世界上最受欢迎的便携式软件解决方案，让您可以随身携带喜欢的软件 ## 安全测试软件供应商网站 - [Acunetix acuforum](https://testasp.vulnweb.com/) - 一个故意设计为容易受到 SQL 注入、目录遍历和其他基于 Web 的攻击的论坛 - [Acunetix acublog](https://testaspnet.vulnweb.com/) - Acunetix 的测试站点。它容易受到 SQL 注入、跨站脚本攻击 (XSS) 等 - [Acunetix acuart](https://testphp.vulnweb.com/) -这是一个示例 PHP 应用程序，专门设计为容易受到 Web 攻击。它旨在帮助您测试 Acunetix - [Acunetix SecurityTweets](http://testhtml5.vulnweb.com) - 针对Acunetix Web 漏洞扫描器的脆弱 HTML5 测试网站。 - [Cenzic crackmebank](http://crackme.cenzic.com) - 这是一个测试和演示站点 - [Fortify Zero Bank](http://zero.webappsecurity.com) - 该免费在线银行网站由 Micro Focus Fortify 发布， solely for the purpose of demonstrating the functionality and effectiveness of Micro Focus Fortify’s WebInspect products in detecting and reporting Web application vulnerabilities. (注：此处原文后半段为英文，请提供完整需翻译文本，若需翻译此段，意为：发布此网站旨在演示 Micro Focus Fortify 的 WebInspect 产品在检测和报告 Web 应用程序漏洞方面的功能和有效性。) - [Fortify IWA.NET (Insecure Web Application) Pharmacy Direct](https://github.com/fortify/IWA-DotNet) - 一个用于 DevSecOps 场景和演示的 Microsoft.NET Core Web 应用示例。它包含了一些糟糕且不安全的代码示例——可以使用由 [OpenText](https://www.opentext.com) 提供的静态和动态应用程序安全测试工具来发现这些代码。 - [Fortify IWA.JAVA (Insecure Web Application) Pharmacy Direct](https://github.com/fortify/IWA-Java) - 一个用于 DevSecOps 场景和演示的 Java/Spring Web 应用示例。它包含了一些糟糕且不安全的代码示例——可以使用由 [OpenText](https://www.opentext.com) 提供的静态和动态应用程序安全测试工具来发现这些代码。 - [IBM altoromutual](http://demo.testfire.net/) - AltoroJ 网站由 IBM 公司发布，专门用于演示 IBM 产品在检测 Web 应用程序漏洞和网站缺陷方面的有效性 - [Mavituna testsparker](http://aspnet.testsparker.com) - 这是针对 Netsparker 的测试和演示站点 - [Mavituna testsparker](http://php.testsparker.com) - 这是针对 Netsparker 的测试和演示站点，Netsparker 是下一代 Web 应用程序安全扫描器。启动 Netsparker 扫描此网站，让它找出漏洞 - [Mavituna testsparker](http://angular.testsparker.com) - 这是针对 Netsparker 的测试和演示站点 - [NTOSpider Test Site](http://www.webscantest.com/) - 此站点旨在测试自动化 Web 应用程序扫描器（如 AppSpider） ## 提升黑客技能的网站 - [Blue Team Labs Online - Cyber Range](https://blueteamlabs.online/) -一个游戏化平台，供防御者在安全调查和挑战中练习技能，涵盖：事件响应、数字取证、安全运营、逆向工程和威胁狩猎。 - [CyberKiller](https://cyberkiller.net) - 一个免费的实时 山丘之王 黑客竞技场，场景轮换：包括《权力的游戏》的 Active Directory 森林 (GOAD) 和企业 Linux 入侵链，包含攻陷并保持旗帜控制和实时记分板。 - [Embedded Security CTF](https://microcorruption.com) - 遍布全球被锁定的仓库里散落着装满 Cy Yombinator 不记名债券的公文包，价值可能高达数百万亿。你将协助盗取这些公文包 - [EnigmaGroup](http://www.enigmagroup.org/) - Enigma Group 一直为其成员提供一个合法且安全的资源平台，让他们可以通过本站提供的各种挑战来发展渗透测试技能 - [Escape](http://escape.alf.nu/) - 该代码以不安全的方式生成 HTML。请通过调用 alert(1) 来证明这一点 - [Google Gruyere](http://google-gruyere.appspot.com/) - 此 Codelab 展示了如何利用 Web 应用程序漏洞以及如何防御这些攻击 - [Forensic Practical](http://www.forensickb.com/2008/01/forensic-practical.html) - 磨练您的取证技能，将蜜罐中发现的恶意软件安装到干净的计算机系统上并观察其行为 - [Gh0st Lab](http://www.gh0st.net/) - 这个网络的最初想法是创建一个安全研究网络，让志同道合的人可以为了知识这一共同目标而合作 - [Hack The Box](https://www.hackthebox.eu) - 一个在线平台，允许您测试渗透测试技能，并与安全领域的数千人交流想法和方法 - [TryHackMe](https://tryhackme.com/) - 让网络安全培训变得简单。通过设计预建课程（包括托管在云中随时可部署的虚拟机）提供舒适的学习体验 - [Hack This Site](http://www.hackthissite.org/) - Hack This Site 是一个免费、安全且合法的黑客训练场，用于测试和扩展他们的黑客技能 - [HackThis](http://www.hackthis.co.uk/) - Defend the Web 是一个互动的网络安全平台 - [HackQuest](http://www.hackquest.com/) - 匿名虚拟主机，虚拟服务器，安全电子邮件 - [Hack.me](https://hack.me) - Hacking-Lab 是由 Security Competence GmbH（Compass Security AG 的瑞士子公司）提供的一项服务。 Compass Security 是一家著名的欧洲公司，专门从事渗透测试、事件响应、数字取证和安全培训 - [Hacking-Lab](https://www.hacking-lab.com) - Hack.me 是由 eLearnSecurity 支持的一个免费的、基于社区的项目。社区可以为教育和研究目的构建、托管和分享脆弱的 Web 应用程序代码 - [Hacker Test](http://www.hackertest.net/) - HackerTest.net 是您自己的在线黑客模拟。这种全新的真实模仿将帮助您提升对 JavaScript、PHP、HTML 和图形思考的安全知识 - [Halls Of Valhalla](http://halls-of-valhalla.org/beta/challenges) - Valhalla 是一个分享知识和想法的地方。用户可以提交代码，以及科学、技术和工程类的新闻和文章 - [Hax.Tor](http://hax.tor.hu/) - HaX.ToR.Hu 是一个挑战网站，重点在于以有趣的方式教授基本的安全相关问题 - [Metasploit Unleashed ](https://www.offensive-security.com/metasploit-unleashed/) - Metasploit Unleashed (MSFU) 课程由 Offensive Security 免费提供，旨在提高人们对东非贫困儿童的关注 - [OverTheWire](http://www.overthewire.org/wargames/) - OverTheWire 社区提供的 Wargame 可以帮助您以充满乐趣的游戏形式学习和练习安全概念 - [PentestIT](https://lab.pentestit.ru/) - 渗透测试实验室“Test lab”模拟真实公司的 IT 基础设施，旨在进行合法的渗透测试并提高渗透测试技能 - [CSC Play on Demand](https://pod.cybersecuritychallenge.org.uk/) - 本次挑战的目的是确定内部人员可能如何通过看似无害的文件意外或恶意地泄露组织机密 - [Root Me](http://www.root-me.org/?lang=en) - 快速、简单且实惠地训练您的黑客技能的方法 - [Security Treasure Hunt](http://www.securitytreasurehunt.com/) - 由 Cyber Aces 赞助，一项新的基于 Packet Capture 的 Web 漏洞分析挑战至 2013 年 4 月 30 日截止 - [Smash The Stack](http://www.smashthestack.org/) - 战争游戏网络 - [SQLZoo](http://sqlzoo.net/hack/) - 利用 SQL 注入攻击需要解决一个介于 Hangman 和 20 个问题之间的谜题。这需要一点对 SQL 的理解和极大的狡黠 - [TheBlackSheep and Erik](http://www.bright-shadows.net/) - 为您提供编程、JavaScript、PHP、Java、隐写术、密码学等领域的数百项挑战 - [ThisIsLegal](http://thisislegal.com/) - 一个黑客 Wargame 网站，还包含论坛和教程等丰富内容 - [Try2Hack](http://www.try2hack.nl/) - 本网站为您提供几个面向安全的娱乐挑战。它实际上是目前现存最古老的挑战网站之一 - [VulnHub](https://vulnhub.com/) - 一个脆弱主机和相关挑战的集合，旨在获得网络安全方面的“实操”经验。 - [XSS: Can You XSS This?](http://canyouxssthis.com/HTMLSanitizer/) - 使用 HTMLSanitizer 保护您的 Web 应用程序 - [XSS Game](https://xss-game.appspot.com/) - 学习查找和利用 XSS 漏洞 - [XSS: ProgPHP](http://xss.progphp.com/) - 下一代域名注册。Progphp.com 即将上线！ - [Pwnable.tw](http://pwnable.tw/) - 一套全新的高质量 Pwnable 挑战) - [Pwnable.kr](http://pwnable.kr/) - 最近比较受欢迎的 Wargame 挑战集之一 - [PicoCTF](https://picoctf.com/) - 专为高中生设计，虽然活动通常每年都是全新的，但它会保留在线上，并且拥有极好的难度递进系统 - [CTF Learn](http://ctflearn.com/) - 一个基于 CTF 的全新学习平台，包含用户贡献的挑战 - [Reversing.kr](http://reversing.kr/) - 本站测试您在 Cracking & 逆向代码工程方面的能力 - [w3challs](https://w3challs.com/) - 我们的挑战涉及黑客攻击的几个子集，主要侧重于攻击性。大量的技术和架构正等待着您。向我们展示您的高超技巧，并成功 pop 一些 shell（或计算器）！ - [RingZer0 Team](https://ringzer0team.com/) - RingZer0 Team 的在线 CTF 提供了大量挑战，旨在通过黑客挑战来测试和提高您的黑客技能。 - [HellBound Hackers](http://www.hellboundhackers.org/))- 计算机安全的动手实践方法和模拟安全挑战 - [Komodo Consulting](http://ctf.komodosec.com) - 旨在挑战您的应用程序黑客技能的应用程序安全挑战 - [Maxkersten Binary Analysis](https://maxkersten.nl/binary-analysis-course/) - 实用的二进制分析课程 - [PwnAdventure](https://pwnadventure.com) - Pwnie Island 是一款限量发行的第一人称真正开放世界 MMORPG背景设定在一个美丽的岛屿上，在这里任何事情都可能发生。那是因为这款游戏故意设计为容易受到各种愚蠢的黑客攻击！飞行、无尽的现金等等，只需修改客户端或使用网络代理即可实现 - [INE](https://ine.com/) - 实用且亲自动手的在线 IT 培训和认证 ## 实验室 - [CTFd](https://github.com/isislab/CTFd) - 按需定制的 CTF - [Mellivora](https://github.com/Nakiami/mellivora) - Mellivora 是一个用 PHP 编写的 CTF 引擎 - [Metasploitable2 ](https://sourceforge.net/projects/metasploitable/files/Metasploitable2/) - Metasploitable 是一个故意脆弱的 Linux 虚拟机 - [NightShade](https://github.com/UnrealAkama/NightShade) - 一个简单的 Capture the Flag 框架。 - [MCIR](https://github.com/SpiderLabs/MCIR) - Magical Code Injection Rainbow！MCIR 是一个用于构建可配置漏洞测试平台的框架。MCIR 同时也是一组可配置的漏洞测试平台集合。 - [Vagrant](https://www.vagrantup.com/) - 让开发环境变得简单 - [NETinVM](https://informatica.uv.es/~carlos/docencia/netinvm/) - 用于教学和学习系统、网络和安全的工具 - [SmartOS](https://smartos.org/) - SmartOS 是一个免费且开源的 SVR4 Hypervisor，基于 UNIX 操作系统，结合了 OpenSolaris 技术与 Linux 的 KVM 虚拟化。 - [SmartDataCenter](https://github.com/joyent/sdc) - Joyent Triton DataCenter：一个对容器提供一流支持的云管理平台。 - [vSphere Hypervisor](https://www.vmware.com/products/vsphere-hypervisor/) - vSphere Hypervisor 是一个裸机 Hypervisor，可对服务器进行虚拟化；让您能够整合应用程序，同时节省管理 IT 基础设施的时间和金钱。 - [GNS3](http://sourceforge.net/projects/gns-3/) - 在无风险的虚拟环境中构建、设计和测试您的网络，并访问最大的网络社区以获取帮助。 - [OCCP](https://opencyberchallenge.net/) - 为网络安全教育者和挑战活动协调员提供的免费、可配置、开源的虚拟化平台。 - [XAMPP](https://www.apachefriends.org/index.html) - XAMPP 是一个完全免费、易于安装的 Apache 发行版，包含 MariaDB、PHP 和 Perl。XAMPP 开源软件包的设置旨在使其非常易于安装和使用。 - [Kubernetes Goat](https://github.com/madhuakula/kubernetes-goat) - Kubernetes Goat 旨在提供一个故意设计为脆弱的 cluster 环境，以学习和练习 Kubernetes 安全。 - [Offensive Security](https://www.offensive-security.com/labs/individual/) - 在一个独立、私密的实验室环境中练习您的渗透测试技能， Offensive Security 的 Proving Grounds 培训实验室中新增了 PG Play 和 PG Practice。 - [Game of Hacks](http://www.gameofhacks.com/) - 好吧，这个并不完全是一个脆弱的 Web 应用程序——但它是另一种学习识别应用程序安全漏洞的引人入胜的方式，所以我们认为有必要把它加进来 - [Google Gruyere](https://google-gruyere.appspot.com/) - 这个“充满奶酪味”的脆弱网站漏洞百出，专为那些刚刚开始学习应用程序安全的人而设计。 - [Hellbound Hackers](https://www.hellboundhackers.org/) - Hellbound Hackers，计算机安全的动手实践方法，提供了各种各样的挑战，旨在教授如何识别漏洞利用并提出修补代码 - [Peruggia](https://sourceforge.net/projects/peruggia/) - Peruggia 为安全专业人员和开发人员提供了一个安全的环境，以学习和测试针对 Web 应用程序的常见攻击。 - [oliverwiegers/pentest_lab](https://github.com/oliverwiegers/pentest_lab) - 利用 Docker Compose 搭建的本地渗透测试实验室。 - [Hacksplaining](https://www.hacksplaining.com/) - 针对几种众所周知的 Web 漏洞的互动课程。 - [LabEx](https://labex.io/skilltrees/cybersecurity) - 通过亲自动手的实验室来提升您在 Linux、DevOps 和网络安全技能的在线平台 - [gRPC Goat](https://github.com/rootxjs/grpc-goat) - gRPC Goat 是一个“故意设计为脆弱”的实验室，旨在为学习和练习 gRPC 安全提供一个互动、亲自操作的演练场。 - [SocengLab](https://github.com/dalpan/SocengLab) - SocEng Lab 是一个开源的自适应社会工程模拟平台，为安全意识培训带来了学术严谨性。 ## 移动应用程序 - [Allsafe](https://github.com/t0thkr1s/allsafe) - Allsafe 是一个包含各种漏洞的故意脆弱的应用程序。 - [Damn Vulnerable Android App (DVAA)](https://code.google.com/p/dvaa/) - Damn Vulnerable Android App (DVAA) 是一个包含故意漏洞的 Android 应用程序 - [Damn Vulnerable FirefoxOS Application (DVFA)](https://github.com/arroway/dvfa) - Damn Vulnerable FirefoxOS Application - 一个用于演示的故意脆弱的应用程序 - [Damn Vulnerable iOS App (DVIA)](damnvulnerableiosapp.com/) - Damn Vulnerable iOS App (DVIA) 是一个极其脆弱的 iOS 应用程序 - [ExploitMe Mobile Android Labs](https://securitycompass.github.io/AndroidLabs/) - 为满足您的黑客乐趣而设计的不安全 Android 应用程序 - [ExploitMe Mobile iPhone Labs](https://securitycompass.github.io/iPhoneLabs/) - 为满足您的黑客乐趣而设计的缺陷 iPhone 应用程序 - [Hacme Bank Android](https://www.mcafee.com/us/downloads/free-tools/hacme-bank-android.aspx) - 免费的 McAfee 工具，以协助您的安全防护。 - [InsecureBank](https://www.paladion.net/downloadapp.html) - Paladion 的 Cyber Tales - [NcN Wargame](https://github.com/NocONName/Wargame_NcN2012) - No cON Name 2012 挑战赛 - [OWASP iGoat](https://code.google.com/p/owasp-igoat/) - OWASP iGoat 项目是一个供 iOS 开发人员了解 iOS 安全弱点的安全学习工具——通过破坏和修复来进行学习。 - [OWASP Goatdroid](https://github.com/jackMannino/OWASP-GoatDroid-Project) - OWASP GoatDroid 是一个功能齐全且独立的培训环境，用于向开发人员和测试人员普及 Android 安全知识 - [OWASP MSTG Hacking Playground](https://github.com/OWASP/MSTG-Hacking-Playground) - 一组移动端脆弱应用，您可以使用 OWASP MSTG 的技术来利用其中的漏洞。 - [OWASP MSTG Crackmes](https://github.com/OWASP/owasp-mstg/tree/master/Crackmes) - 一组移动应用程序，可帮助您基于 [OWASP MSTG](https://github.com/OWASP/owasp-mstg) 提升逆向工程技能。 ## API - [OWASP crAPI](https://github.com/OWASP/crAPI) - crAPI 代表“Completely Ridiculous API”。它模拟了一个由 API 驱动、基于 microservice 的 Web 应用程序，是一个面向车主的平台。crAPI 专注于现代基于 API 的应用程序中常见的漏洞，包括 OWASP API Top 10 中的所有漏洞。 - [VAmPI](https://github.com/erev0s/VAmPI) - VAmPI 是使用 Flask 制作的脆弱 API，它包含了 OWASP API Top 10 漏洞。 - [capital](https://github.com/Checkmarx/capital) - 基于 OWASP API Top 10 漏洞构建的故意脆弱的 API 应用程序。使用 c{api}tal 在您自己的 API 安全 CTF 中学习、训练和利用 API 安全漏洞。 - [dvws-node](https://github.com/snoopysecurity/dvws-node) - Damn Vulnerable Web Services 是一个脆弱的应用程序，包含一个 Web 服务和一个 API，可用于学习与 Web 服务/API 相关的漏洞。 - [VulnerableLightApp](https://github.com/Aif4thah/VulnerableLightApp) - 用于教育目的的脆弱 API 我们始终感谢您的贡献

标签：CISA项目, JS文件枚举, MITM代理, XXE攻击, 多人体追踪, 安全靶场, 漏洞利用检测, 漏洞演练, 请求拦截