ロード・トゥ・ザ・ホワイトハッカー

ホワイトハッカーはじめました

Googleのやられサイト

やられサイトまとめ

敢えて脆弱性を持ったWebアプリケーションで、脆弱性検査(ハッキング)のスキルを向上させる、やられサイト。

 

OWASPだと、

  • OWASP JUICE SHOP

ソースコード版からDocker版まである。

Juice Shop - Insecure Web Application for Training | OWASP

オンラインでも公開されている。

OWASP Juice Shop (juice-shop.herokuapp.com)

 

  • Web Security Academy

Burp Suiteを使っていれば、Web Security Academyで、カテゴリ別に学べるサイトが準備されている。

Web Security Academy: Free Online Training from PortSwigger

 

  • Acunetix 

ツールのテスト用サイトとして,以下のようなものもある。

Acunetix Web Vulnerability Scanner - Test websites

 

以前、hackmeというのがありましたが、今はアクセスできないようになっています。

似たようなサイトに、

 

  • hack the box

Hack The Box: Hacking Training For The Best | Individuals & Companies

 

  • TryHackMe

TryHackMe | Cyber Security Training

などがある。

 

オンラインのメリットは、手軽に試せる点ですが、防御も学ぶ必要がある場合、ソースコードやサーバーの設定を触れる必要がある。

そのような観点から「OWASP JUICE SHOP」は有難い。

 

Google gruyere

グーグル グリュイエール、はGoogleのやられサイト。

google-gruyere.appspot.com

グリュイエールは、「スイスの女王様」と言われる由緒正しいチーズ、らしいです。

 

オンライン上で稼働していて、ソースコードもオンラインから見ることができる。

ダウンロードして、自分のサーバーで稼働させることも可能。

Web Security Academyほどのボリュームは無いが、その分、シンプルで一通り練習するには最適な教材と思う。

 

CTF的なものから、ツールに特化したものまで、学ぶ機会は多く提供されている。