Aplicaciones Web Vulnerables

Aplicaciones Web Vulnerables, la práctica hace el maestro, pero en el campo de la seguridad informática, si practicamos en aplicaciones o servidores de terceros, podemos llegar a tener problemas con la ley; Por este motivo existen herramientas como Damn Vulnerable Web App, una aplicación web vulnerable que permite poner a prueba nuestros conocimientos sobre seguridad web, pero DVWA no es la única aplicación de este tipo que existe, a continuación les dejo un listado con algunas de las aplicaciones web vulnerables:

• WebGoat es una aplicación web J2EE deliberadamente insegura, mantenida por OWASP y diseñada para enseñar lecciones de seguridad en aplicaciones Web. puedes aprender más sobre esta herramienta en nuestro laboratorio.

• Moth es una imagen de VMware que contiene un conjunto de aplicaciones Web y scripts vulnerables, que puedes utilizar para probar scanners de seguridad en aplicaciones Web, herramientas de análisis de código estático (SCA), dar cursos introductorios de seguridad en aplicaciones Web. puedes encontrar mas información sobre esta herramienta en nuestra comunidad.

• BadStore es una aplicación web para tienda virtual, que incluye de manera intencionada diferentes fallos de seguridad informática, para probar nuestros conocimientos y herramientas sobre ella.

• WebMaven es un entorno interactivo de seguridad web, que emula varios de los más comunes fallos en las aplicaciones web.

• SecuriBench es una aplicación escrita en java en la universidad de Stanford, que incluye las siguientes vulnerabilidades SQL injection attacks, Cross-site scripting attacks, HTTP splitting attacks, Path traversal attacks, para practicar con ellas.

• Mutillidae es un conjunto de scripts vulnerables escritos en php, a diferencia de otras aplicaciones de su tipo, multilliadae se diferencia por la simplicidad de su código, enfocado en las personas que apenas empiezan a desarrollar aplicaciones web.

• SERIE HACME, la serie Hacme es un conjunto de aplicaciones web temáticas escritas por Foundstone, que tienen en su código de forma deliberada, multitud de vulnerabilidades web, para que practiquemos nuestros conocimientos sobre seguridad web, dentro de esta serie tenemos un aplicativo web de un casino Hacme Casino (del cual hablamos en la ezine 2 de nuestra comunidad), una aplicación web de compras Hacme Shipping , un sistema de viajes Hacme Travel y una aplicación web que simula ser un banco Hacme Bank.

Actualizado 18/01/2010 : Agrego WebMaven , SecuriBench, y BadStore, gracias al comentario de colliers por contribuir a nuestro listado de Aplicaciones Web Vulnerables

Actualizado 23/10/2011: Agrego un excelente listado encontrado en taddong.com de Aplicaciones Web Vulnerables

Aplicaciones Web Vulnerables Offline

El siguiente listado de Aplicaciones Web Vulnerables que pueden ser instaladas en el sistema operativo (Linux, Windows, Mac OS X, etc) usando plataformas web (Apache/PHP, Tomcat/Java, IIS/.NET, etc) para que practiquemos técnicas de auditoria web, sin correr el riesgo de terminar en la carcel.

• The BodgeIt Store (Java): http://code.google.com/p/bodgeit/ (download)
• The ButterFly Security Project (PHP): http://sourceforge.net/projects/thebutterflytmp/ (download)
• Damn Vulnerable Web Application - DVWA (PHP): http://www.dvwa.co.uk (download)
• OWASP Hackademic Challenges Project (PHP): https://www.owasp.org/index.php/OWASP_Hackademic_Challenges_Project (download)
• Google Gruyere (Python): http://google-gruyere.appspot.com (download)
• Hacme Books (Java): http://www.mcafee.com/us/downloads/free-tools/hacmebooks.aspx (download)
• Hacme Casino (Ruby on Rails): http://www.mcafee.com/us/downloads/free-tools/hacme-casino.aspx(download)
• OWASP Insecure Web App Project (Java): https://www.owasp.org/index.php/Category:OWASP_Insecure_Web_App_Project (download -orphaned)
• OWASP .NET Goat (C#): https://owasp.codeplex.com (download)
• Peruggia (PHP): http://peruggia.sourceforge.net (download)
• Puzzlemall (Java): https://code.google.com/p/puzzlemall/ (download) (docs)
• OWASP Vicnum Project (Perl & PHP): https://www.owasp.org/index.php/Category:OWASP_Vicnum_Project (download)
• VulnApp (.NET): http://www.nth-dimension.org.uk/blog.php?id=88 (CVS download & vulns)
• WackoPicko (PHP): https://github.com/adamdoupe/WackoPicko (download) (whitepaper)
• OWASP ZAP WAVE - Web Application Vulnerability Examples (Java): http://code.google.com/p/zaproxy/downloads/list
• Wavsep - Web Application Vulnerability Scanner Evaluation Project (Java): https://code.google.com/p/wavsep/ (download) (docs)
• OWASP BWA - Broken Web Applications Project (VMware - list): https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project (download)
• Exploit.co.il Vuln Web App (VMware): http://exploit.co.il/projects/vuln-web-app/ (download)
• Hackxor (VMware): http://hackxor.sourceforge.net/cgi-bin/index.pl (download) (hints&tips)
• LAMPSecurity (VMware): http://sourceforge.net/projects/lampsecurity/ (download) (doc)
• Metasploitable (VMware): http://blog.metasploit.com/2010/05/introducing-metasploitable.html(download - torrent) (doc)
• Samurai WTF (ISO - list): http://www.samurai-wtf.org (download)
• Sauron (Quemu) [Spanish]: http://sg6-labs.blogspot.com/2007/12/secgame-1-sauron.html (solutions)
• UltimateLAMP (VMware - list): http://ronaldbradford.com/blog/ultimatelamp-2006-05-19/ (download)
• Web Security Dojo (VMware, VirtualBox - list): http://www.mavensecurity.com/web_security_dojo/(download)

Aplicaciones Web Vulnerables Online

El siguiente listado de Aplicaciones Web Vulnerables pueden ser accedidas desde internet y utilizadas como plataforma de aprendizaje en auditorias web, sin cometer ningun delito.

• ACUNETIX:
  • http://testasp.vulnweb.com (Forum - ASP)
  • http://testaspnet.vulnweb.com (Blog - .NET)
  • http://testphp.vulnweb.com (Art shopping - PHP)
• Cenzic CrackMeBank: http://crackme.cenzic.com
• Google Gruyere (Python): http://google-gruyere.appspot.com/start
• HackThisSite (HTS - Basic & Realistic (web) Missions): http://www.hackthissite.org
• HP/SpiDynamics Free Bank Online: http://zero.webappsecurity.com (admin/admin)
• IBM/Watchfire AltoroMutual: http://demo.testfire.net (jsmith/Demo1234)
• NTOSpider Web Scanner Test Site: http://www.webscantest.com (testuser/testpass)
• OWASP Hackademic Challenges Project - Live (PHP - Joomla): http://hackademic1.teilar.gr

Si conoces alguna otra aplicación para añadir a nuestro listado de Aplicaciones Web Vulnerables ya sea online u offline, déjala en los comentarios para añadirla a este completo listado