Connaissez-vous une bonne plate-forme gratuite dans laquelle nous pouvons pratiquer différents vecteurs d'attaque et vulnérabilités tels que XSS, injection SQL, piratage de bas niveau, rétro-ingénierie, etc.?
Par exemple, j'ai vraiment aimé Smash The Stack à l'époque. (Remarque: il n'est pas recommandé d'entrer dans la section Tags , il suffit de SSH pour le serveur et de commencer à jouer).
Selon ce que vous appelez "en ligne", une simple recherche Google sur "sacrément vulnérable" révélera l'existence d'applications téléchargeables gratuitement, même d'un système d'exploitation complet, destiné à, en effet, apprendre toutes les façons dont les logiciels peuvent être horriblement vulnérables. L'un d'eux est Damn Vulnerable Web App , qui est, vous l'aurez deviné, une putain d'application Web vulnérable. Il y avait également un système d'exploitation complet appelé Damn Vulnerable Linux ; il est apparemment abandonné (bien que le manque de correctifs de sécurité en soit le but) mais cette question discute des remplacements.
Ce ne sont pas des "machines en ligne" à pirater, mais vous pouvez les télécharger et les installer sur une machine virtuelle sur votre propre ordinateur, ce qui peut être fait gratuitement (il y en a de bonnes VM par exemple VirtualBox ) et est beaucoup plus flexible qu'une cible en ligne, il vous en apprendra plus puisque vous pouvez le modifier et le réinitialiser à volonté.
Toutes ces ressources sont sujettes à l'obsolescence, la modification et le remplacement, donc le point important de cette réponse est de donner les bons mots clés pour la recherche. Et ces mots clés sont "sacrément vulnérables".
Ce sont tout ce que je recommande.
Vulnérabilité Web
1. Webgoat ( Recommander) - https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
2. EnigmaGroup ( WarGame) - http://www.enigmagroup.org
3. Mutillidae ( Bien) http://sourceforge.net/projects/mutillidae/
4. DVWA ( pas si bon) http://www.dvwa.co.uk/
Vulnérabilité du système d'exploitation
5. Metasploitable ( Recommander) - http://sourceforge.net/projects/metasploitable/files/Metasploitable2/
6. Exercices d'exploitation ( Très bien) https://exploit-exercises.com/
7. HowToForge ( Spécifique)
J'ai essayé de maintenir une liste de ressources utiles pour les amateurs de sécurité sur mon site personnel . En voici une partie:
Vous pouvez trouver des plates-formes qui fournissent des soi-disant wargames , tels que OverTheWire .
Dans de tels jeux, vous avez un accès SSH à une machine publique avec un logiciel vulnérable personnalisé que vous devez exploiter pour progresser davantage.
Il existe une plateforme polonaise: rozwal.to.
Le nom en anglais signifie "destroy.it". Il y a environ 50 tâches qui varient selon le niveau de compétence requis et le sujet (XSS, injections, SQLi, Steganogrpahy, bitcoins, etc.).
Le gros avantage est que vous n'avez rien à installer, il vous suffit d'ouvrir des pages et de les pirater.
Il a également un classement afin que vous puissiez comparer vos compétences avec d'autres.