¿Cuál es la mejor forma de practicar pentesting para aplicaciones web (cuadro blanco y negro) de forma gratuita?

Puedes probar algunos CTF. Hay muchos CTF para pruebas de penetración de aplicaciones web.

NetKotH (Red Rey de la colina)

NetKotH (Rey de la Red de la colina) github

RingZer0 Team Online CTF

HackCenter CTF por ForAllSecure

Proyecto OWASP WebGoat

Proyecto OWASP Vicnum

Guerras netas

Juegos de guerra

Heorot.net – Live Pentest CDs

p0wnlabs

Maldita Linux Vulnerable

LAMPSecurity Training: diseñado para ser una serie de imágenes de máquinas virtuales vulnerables junto con documentación complementaria diseñada para enseñar seguridad de Linux, Apache, PHP, MySQL.

Hacme Travel

Hacme Shipping

Casino Hacme

Hacme Books

Banco Hacme

Maldita aplicación web vulnerable (DVWA)

Dojo de seguridad web

Google Gruyere

Ejercicios de explotación

Una vez que haya terminado con estos, compartirá algunos más :). Buena suerte

Related Content

¿Alguien puede hackear mi correo electrónico? Si es así, ¿cómo se puede prevenir?

¿Estamos haciendo lo suficiente para fortalecer la ciberseguridad?

¿Cuáles son los diferentes métodos / algoritmos de encriptación de grado militar disponibles? ¿O algún otro método de cifrado que sea tan bueno como un método de cifrado de grado militar?

¿Por qué no se pueden prevenir los ataques DDoS?

¿Qué debo hacer para ser un experto en seguridad de red?

Normalmente tú …

  1. Cree una máquina virtual de lo que desea probar
  2. Utilice software de prueba de penetración, seguridad de prueba de lápiz | Metasploit y otras herramientas para practicar sus procedimientos.
  3. Mire muchos videos de YouTube sobre el tema para ver cómo otros hacen las pruebas
  4. y no te lo tomes demasiado en serio al principio, no vas a ser una estrella de rock durante la noche. Se necesita trabajo y mucha paciencia.
Shazib Roy

Hay muchas maneras de comenzar a practicar la prueba de la pluma de forma gratuita, y decir cuál es la mejor depende en gran medida de su situación actual. Por ejemplo, si tiene amplios recursos de hardware, puede consultar VulnHub y descargar sus vulnerables mediante máquinas de diseño, seguir los escritos y desarrollar su experiencia de pruebas de penetración mientras entrena en más y más máquinas.

Hay muchas aplicaciones web gratuitas en línea que puede escanear, atacar y explotar de forma gratuita sin temor a consecuencias legales, todo lo que necesita es algunas herramientas de prueba de penetración, tiempo libre, buena conexión a Internet y mucha determinación. Puede encontrar una lista completa de esos sitios web en línea aquí y puede encontrar una lista de distribución de Linux de pruebas de penetración populares aquí.

Una de las mejores maneras de aprender sobre las pruebas de penetración de cajas blancas y negras es participar en concursos de Capture the Flag (CTF) . Muchos CTF se llevan a cabo en línea, y puede unirse a ellos de forma gratuita e independientemente de su nivel de experiencia. Puedes unirte, tratar de resolver los desafíos y aprender de los escritos de las personas, será un proceso de aprendizaje valioso para ti y te dará algunas muy buenas ideas sobre el mundo real de las pruebas de penetración. Puedes encontrar una lista de esas competiciones CTF aquí, elige una y sumérgete en ella.

Además de esas opciones y posibilidades de capacitación, necesitará estudiar mucho, ya sea artículos en línea, tutoriales, libros pesados ​​y otras posibles fuentes de información. No llegarás a ningún lado si no combinas tu entrenamiento con una buena cantidad de estudio, ya que necesitas aprender muchas cosas teóricas que te ayudan en tu entrenamiento práctico.

Shazib Roy

Hay toneladas de recursos en Internet que le permiten practicar oficialmente los pentests de aplicaciones web.

Estoy totalmente de acuerdo con la respuesta de Dave Gordon y aquí hay algunos puntos adicionales

-Puedes visitar mi blog, escribí hace mucho tiempo. Pruebas de penetración de aplicaciones web: lista de aplicaciones web vulnerables

-Mire un programa de recompensas de errores y aprenda cómo otros obtuvieron esas recompensas de errores. Intenta comprender su lógica de explotación.

-Introduzca la Plataforma de respuesta de seguridad y recompensa de errores y los programas de recompensa de errores administrados, un mejor enfoque para las pruebas de seguridad

Dave Gordon

CTFs. Busque PicoCTF y CSAW CTF.

Shazib Roy

More Interesting

¿Qué es una contraseña segura?

¿Cuáles son las formas y herramientas más seguras y efectivas necesarias para proteger y proteger una computadora portátil Debian y un servidor Debian?

¿Cómo puede una startup protegerse legalmente de una violación de seguridad que compromete los datos privados de los clientes?

¿Los hackers alguna vez usan el método de 'fuerza bruta' para adivinar las contraseñas?

Sistemas operativos: ¿Cuáles son las implicaciones de seguridad debido a la condición de carrera?

¿Cómo definimos el cibercrimen?

¿Cuáles son algunas formas de mejorar la seguridad de la red en la industria de la subcontratación?

¿Conoces startups de ciberseguridad en India?

¿Hay psicología detrás de las personas que eligen sus contraseñas?

¿Por qué se han violado tantos intercambios de Bitcoin o se ha perdido el dinero de los clientes?

¿Cuál es la diferencia entre endpoint security y cyber security?

Cómo deshacerse del virus de la carpeta duplicada comúnmente conocido como 'virus de la papelera de reciclaje' que oculta las carpetas originales

Tecnológicamente hablando, ¿cómo una Mac es relativamente más libre de virus que Windows?

¿Cómo las aplicaciones de contraseña mantienen sus datos protegidos contra piratería cuando otras compañías no pueden hacerlo?

¿Cuáles fueron las vulnerabilidades de navegador de 0 días más graves de la historia?