やられサイトまとめ

敢えて脆弱性を持ったWebアプリケーションで、脆弱性検査（ハッキング）のスキルを向上させる、やられサイト。

OWASPだと、

• OWASP JUICE SHOP

ソースコード版からDocker版まである。

Juice Shop - Insecure Web Application for Training | OWASP

オンラインでも公開されている。

OWASP Juice Shop (juice-shop.herokuapp.com)

• Web Security Academy

Burp Suiteを使っていれば、Web Security Academyで、カテゴリ別に学べるサイトが準備されている。

Web Security Academy: Free Online Training from PortSwigger

• Acunetix 

ツールのテスト用サイトとして,以下のようなものもある。

Acunetix Web Vulnerability Scanner - Test websites

以前、hackmeというのがありましたが、今はアクセスできないようになっています。

似たようなサイトに、

• hack the box

Hack The Box: Hacking Training For The Best | Individuals & Companies

• TryHackMe

TryHackMe | Cyber Security Training

などがある。

オンラインのメリットは、手軽に試せる点ですが、防御も学ぶ必要がある場合、ソースコードやサーバーの設定を触れる必要がある。

そのような観点から「OWASP JUICE SHOP」は有難い。

Google gruyere

グーグル　グリュイエール、はGoogleのやられサイト。

google-gruyere.appspot.com

グリュイエールは、「スイスの女王様」と言われる由緒正しいチーズ、らしいです。

オンライン上で稼働していて、ソースコードもオンラインから見ることができる。

ダウンロードして、自分のサーバーで稼働させることも可能。

Web Security Academyほどのボリュームは無いが、その分、シンプルで一通り練習するには最適な教材と思う。

CTF的なものから、ツールに特化したものまで、学ぶ機会は多く提供されている。