ແຫຼ່ງຮຽນຮູ້ Security ເປັນເລື່ອງທີ່ຫາໄດ້ຍາກໃນປະເທດ ທັງແຫຼ່ງເນື້ອຫາການຮຽນຮູ້ ແລະ ການຫາ lab ເພື່ອທົດສອບດ້ວຍເຊັ່ນກັນ ທີນີ້ກໍ່ເລີຍ list ເອົາ web application ທີ່ຖືກສ້າງໃຫ້ມີຊ່ອງໂຫວ່ເພື່ອໃຫ້ທົດສອບ ແລະຮຽນຮູ້ກ່ຽວກັບຊ່ອງໂຫວ່ທາງດ້ານ Web Application
1. OWASP WebGoat
WebGoat ເປັນ web application ທີ່ໃຫ້ມີຊ່ອງໂຫວ່ໂດຍອົງກອນ OWASP ເພື່ອສອນ ເພາະໃນນັ້ນຈະມີທັງຄຳອະທິບາຍ ແລະ ຄຳແນະນຳໃນການແກ້ໄຂຊ່ອງໂຫວ່ດັ່ງກ່າວ
2. DVWA
Damn Vulnerable Web Application (DVWA) ຖືກສ້າງເພື່ອຮຽນຮູ້ຊ່ອງໂຫວ່ຂອງ PHP ໂດຍຈະມີການແບ່ງລະດັບຄວາມຍາກຂອງຊ່ອງໂຫວ່ເປັນຫຼາຍລະດັບ
3. SQLi-Labs
เປັນ web application ທີ່ຖືກສ້າງມາເພື່ອໃຫ້ຮຽນຮູ້ ແລະ ທົດສອບເຈາະຊ່ອງໂຫວ່ SQL-Injection ໂດຍມີທັງ
- Error Based Injections (Union Select)
- String
- Intiger
- Error Based Injections (Double Injection Based)
- BLIND Injections: 1.Boolian Based 2.Time Based
- Update Query Injection.
- Insert Query Injections.
- Header Injections. 1.Referer based. 2.UserAgent based. 3.Cookie based.
- Second Order Injections
- Bypassing WAF
- Bypassing Blacklist filters Stripping comments Stripping OR & AND Stripping SPACES and COMMENTS Stripping UNION & SELECT
- Impedance mismatch
4. vulnerable-node
ອັນນີ້ເປັນ project ທີ່ມາບໍ່ດົນນີ້ ເປັນການສ້າງ Application NodeJS ທີ່ມີຊ່ອງໂຫວ່ຕາມ OWASP Top 10
A1 – Injection
A2 – Broken Authentication and Session Management
A3 – Cross-Site Scripting (XSS)
A4 – Insecure Direct Object References
A5 – Security Misconfiguration
A6 – Sensitive Data Exposure
A8 – Cross-Site Request Forgery (CSRF)
A10 – Unvalidated Redirects and Forwards
5. XVWA
Xtremely Vulnerable Web Application (XVWA) ເປັນ application ອີກຕົວທີ່ພັດທະນາດ້ວຍ PHP ແຕ່ມີຫລາຍກວ່າ DVWA ທີ່ມີຊ່ອງໂຫວ່ໃໝ່ໆ ແລະ ອາດຈະບໍ່ຄ່ອຍໄດ້ເຈີກັນ
SQL Injection – Error Based
SQL Injection – Blind
OS Command Injection
XPATH Injection
Formula Injection
PHP Object Injection
Unrestricted File Upload
Reflected Cross Site Scripting
Stored Cross Site Scripting
DOM Based Cross Site Scripting
Server Side Request Forgery (Cross Site Port Attacks)
File Inclusion
Session Issues
Insecure Direct Object Reference
Missing Functional Level Access Control
Cross Site Request Forgery (CSRF)
Cryptography
Unvalidated Redirect & Forwards
Server Side Template Injection
6. Hackazon
Hackazon ເປັນ Vulnerable Web Application ທີ່ຖືກສ້າງໂດຍ Rapid7 ຊຶ່ງເນັ້ນເປັນການທົດສອບພວກ Web Service, Web API ແລະ ອື່ນໆ
7. OWASP Juiceshop
เປັນ Vulnerable Web Application ອີກອັນທີ່ຖືກສ້າງໂດຍ OWASP ແລະ ເປັນ Application ອີກຕົວທີ່ຖືກສ້າງດ້ວຍ Javascript Engine base ຊຶ່ງຕົວ OWASP Juiceshop ຫາກໍ່ຈະເປີດຕົວມາບໍ່ດົນນີ້ເອງ ແລະເພື່ອໃຫ້ເຂົ້າໃຊ້ງານໄດ້ງ່າຍຫລາຍຂຶ້ນ ຈຶ່ງໄດ້ເຮັດໃຫ້ສາມາດ deploy ໄປພ້ອມໃຊ້ງານໄດ້ຫຼາຍໆທາງ ບໍ່ວ່າຈະເປັນການຕິດຕັ້ງຜ່ານ Docker, Vagrant, ຫລື ແມ່ນແຕ່ລົງໄປໃຊ້ໃນ Heroku ກໍ່ຕາມ
ແທ້ ໆແລ້ວມັນຍັງມີອີກຫລວງຫລາຍໃຫ້ສາມາດ download ມາເຮັດ lab ຫລິ້ນກັນໄດ້ແບບຟຣີໆ ດັ່ງນັ້ນຢ່າໄປແຮັກເວັບໄຊໃດໆໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດຈະດີກວ່າ ບົດລົງໂທດຂອງການກະທຳຜິດທາງດ້ານຄອມພິວເຕີ ມີບົດລົງໂທດໜັກກວ່າການຜິດກົດໝາຍທາງອາຍາ ໃນຫຼາຍໆຂໍ້ອີກດ້ວຍ “Hack to learn, not learn to hack”
ຂໍ້ມູນຈາກ: https://www.techsuii.com/2017/06/26/learn-to-hack-not-hack-to-learn-list-vulnerable-web-application-for-learning-security/
IF(A73X) {TRUE;}
Welcome to my blog
Search
Categories
Last 10 entries
- Update Unauthorized, after latest update in Promox PMG
- How to upgrade mariadb on cyberpanel from 10.3 to 10.6 on ubuntu 20.04
- Disable 2FA In CyberPanel
- Block Direct Access to IP in Nginx (Zimbra Proxy)
- PHP Ban IP to Cloudflare API Script
- ກຳນົດ actionban ແລະ actionunban ໃຫ້ກັບ Fail2ban ຕໍ່ກັບ Cloudflare API
- Change the listening port for Remote Desktop on your computer
- ວິທີປິດການໃຊ້ງານ IPv6 ໃນວິນໂດວ
- IPBan - Free software to block out attackers quickly and easily on Linux and Windows
- 6 FREE CDN To Speed Up and Secure Your Website
