十大滲透測試演練系統

本文總結了目前網路上比較流行的滲透測試演練系統，這些系統裡面都提供了一些實際的安全漏洞，排名不分先後，各位安全測試人員可以親身實踐如何利用這個漏洞，同時也可以學習到漏洞的相關知識。

DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql編寫的一套用於常規WEB漏洞教學和檢測的WEB脆弱性測試程式。包含了SQL隱碼攻擊、XSS、盲注等常見的一些安全漏洞。

連結地址：http://www.dvwa.co.uk 

mutillidaemutillidae是一個免費，開源的Web應用程式，提供專門被允許的安全測試和入侵的Web應用程式。它是由Adrian “Irongeek” Crenshaw和Jeremy “webpwnized” Druin.開發的一款自由和開放原始碼的Web應用程式。其中包含了豐富的滲透測試專案，如SQL隱碼攻擊、跨站指令碼、clickjacking、本地檔案包含、遠端程式碼執行等.

連結地址：http://sourceforge.net/projects/mutillidae 

SQLolSQLol是一個可配置得SQL隱碼攻擊測試平臺，它包含了一系列的挑戰任務，讓你在挑戰中測試和學習SQL隱碼攻擊語句。此程式在Austin黑客會議上由Spider Labs釋出。

連結地址：https://github.com/SpiderLabs/SQLol

hackxorhackxor是由albino開發的一個online黑客遊戲,亦可以下載安裝完整版進行部署,包括常見的WEB漏洞演練。包含常見的漏洞XSS、CSRF、SQL隱碼攻擊、RCE等。 

連結地址：http://sourceforge.net/projects/hackxor 

BodgeItBodgeIt是一個Java編寫的脆弱性WEB程式。他包含了XSS、SQL隱碼攻擊、除錯程式碼、CSRF、不安全的物件應用以及程式邏輯上面的一些問題。 

連結地址：http://code.google.com/p/bodgeit

Exploit KB / exploit.co.il該程式包含了各種存在漏洞的WEB應用，可以測試各種SQL隱碼攻擊漏洞。此應用程式還包含在BT5裡面。

連結地址：http://exploit.co.il/projects/vuln-web-app

WackoPickoWackoPicko是由Adam Doupé.釋出的一個脆弱的Web應用程式，用於測試Web應用程式漏洞掃描工具。它包含了命令列注射、sessionid問題、檔案包含、引數篡改、sql注入、xss、flash form反射性xss、弱口令掃描等。

連結地址：https://github.com/adamdoupe/WackoPicko 

WebGoatWebGoat是由著名的OWASP負責維護的一個漏洞百出的J2EE Web應用程式，這些漏洞並非程式中的bug，而是故意設計用來講授Web應用程式安全課程的。這個應用程式提供了一個逼真的教學環境，為使用者完成課程提供了有關的線索。

連結地址：http://code.google.com/p/webgoat

OWASP HackademicOWASP Hackademic 是由OWASP開發的一個專案，你可以用它來測試各種攻擊手法，目前包含了10個有問題的WEB應用程式。

連結地址：https://code.google.com/p/owasp-hackademic-challenges

XSSeducationXSSeducation是由AJ00200開發的一套專門測試跨站的程式。裡面包含了各種場景的測試。

連結地址： http://wiki.aj00200.org/wiki/XSSeducation

http://www.freebuf.com/sectool/4708.html