Googleのやられサイト
やられサイトまとめ
敢えて脆弱性を持ったWebアプリケーションで、脆弱性検査(ハッキング)のスキルを向上させる、やられサイト。
OWASPだと、
- OWASP JUICE SHOP
ソースコード版からDocker版まである。
Juice Shop - Insecure Web Application for Training | OWASP
オンラインでも公開されている。
OWASP Juice Shop (juice-shop.herokuapp.com)
- Web Security Academy
Burp Suiteを使っていれば、Web Security Academyで、カテゴリ別に学べるサイトが準備されている。
Web Security Academy: Free Online Training from PortSwigger
- Acunetix
ツールのテスト用サイトとして,以下のようなものもある。
Acunetix Web Vulnerability Scanner - Test websites
以前、hackmeというのがありましたが、今はアクセスできないようになっています。
似たようなサイトに、
- hack the box
Hack The Box: Hacking Training For The Best | Individuals & Companies
- TryHackMe
TryHackMe | Cyber Security Training
などがある。
オンラインのメリットは、手軽に試せる点ですが、防御も学ぶ必要がある場合、ソースコードやサーバーの設定を触れる必要がある。
そのような観点から「OWASP JUICE SHOP」は有難い。
Google gruyere
グーグル グリュイエール、はGoogleのやられサイト。
グリュイエールは、「スイスの女王様」と言われる由緒正しいチーズ、らしいです。
オンライン上で稼働していて、ソースコードもオンラインから見ることができる。
ダウンロードして、自分のサーバーで稼働させることも可能。
Web Security Academyほどのボリュームは無いが、その分、シンプルで一通り練習するには最適な教材と思う。
CTF的なものから、ツールに特化したものまで、学ぶ機会は多く提供されている。