(ほぼ)日課のQiita投稿です。
本当に毎日投稿するのは無理ゲーと気付いてしまいました。
今回はタイトル通り、WEB脆弱性を勉強する上で有用なやられ環境をリストアップしていこうと思います。
参考になるリンクも一緒に貼っておきます。
まだ自分で触った事のない環境もあるので、今後全部の環境をいじりたおしておきたい。
準備
kalilinuxを準備。
- Amazon.co.jp: ハッキング・ラボのつくりかた 仮想環境におけるハッカー体験学習 eBook: IPUSIRON: Kindleストア
- ハッキング・ラボの作り方 - Kali Linux(2020.1) VirtualBox 64-bit編 その2- - Qiita・・・2019のkaliのバージョンから、ネットワーク設定のUIが変わっている。それも含めて、ハッキングラボのトラブルシュートに役立ちます。
やられ環境
OWASP WebGoat
- WebGoatを一通りやってみる - Qiita
- WebGoatを用いたSQLインジェクション #01 - 勉強会用資料・・・他の脆弱性についての記事もあります。
- OWASP WebGoat - Learn the hack - Stop the attack
Google Gruyere
Hack the Box
やられ環境とは少し違うけど、勉強用という点でリストアップ。
こちらはまた独立した記事を書こうかな。
ペネトレーションテストのプラットフォームとなってます。
課金する事で、過去のマシンに挑戦する事が可能となっており、勉強するためには課金する方が吉。
- どぶ素人がHack the BoxでHackerになるまでの道のり - さんぽしのBLOG:時系列で具体的な入門の仕方というか攻略方法みたいで見やすい
- Hack The Boxを始めて1つrootを取るまでのメモ - Security Index:rootを取るまでの行動指針が分かりやすい
- Hack The Boxを楽しむためのKali Linuxチューニング - Qiita
- Hack The Box - Qiita:HTBは登録もCTFみたいな感じになってるけど、この記事はその簡易WriteUpのような感じ。手詰まった時や、登録終わった後で答え合わせとして読むのがいいかも。
TryHackMe
こちらも、ペネトレーションテストのプラットフォーム。
課金する事で、ブラウザ上から操作できる専用の攻撃用マシンが使用できたり、課金する事でのみ挑戦できるマシンもあるみたいです。(料金はだいたい月1000円くらい)
Vulnerable By Design ~ VulnHub
脆弱性が残された仮想イメージを無料で公開しているプラットフォーム。
- 【ハッキングに挑戦】脆弱性が残された仮想イメージ公開プラットフォーム(VulnHub)で練習をする - Qiita:おすすめのイメージ,やられ環境がまとめられていて、とてもありがたい。
Stapler
Badstore
- Badstore: 1.2.3 ~ VulnHub
- BadStore.netを使った脆弱性調査 - kyonta1022’s blog
- 脆弱性診断練習の定番「BadStore.net」がBurp Suiteの拡張として帰ってきた – Webセキュリティの小部屋:Burpの拡張機能として公開されているBadstore
DVWA
PHP/MySQL製の脆弱なWebaアプリ。
SQLiやXSS,ファイルインクルージョンなどの脆弱性のテストが可能。
詳しくは、以下のリンクを参考。
- DVWA (Damn Vulnerable Web Application)とは? - Web Application Security Memo
- Kali LinuxでDVWAを使いSQLインジェクション体験 - Qiita
Hacme Casino
OWASP Insecure
w3af's
XSS Challenge
Metasploitable
Metasploitable2
Metasploitable3
- Metasploitable 3:攻略ノススメ - 高林の雑記ブログ
- Metasploitable3の脆弱性を突いてみる その1|r|note
- Metasploitable3 & Kali Linux 導入 | ゼロから始めるペネトレーションテスト