6 de março de 2010

Aplicações WEB vulneráveis para testes práticos

Nessa pequena dica criei uma lista de aplicações WEB vulneráveis para que os profissionais de segurança possam realizar testes realistas sem comprometer sistemas.

A prática faz o mestre, mas no campo da segurança da informação, se praticamos em aplicações ou servidores de terceiros, podemos chegar a ter problemas com a lei. Por esse motivo existem ferramentas como Damn Vulnerable Web App, uma aplicação web vulnerável que permite colocarmos à prova nossos conhecimentos sobre segurança de aplicações web. No entanto, a DVWA não é a única aplicação deste tipo existente. Abaixo compartilho com vocês algumas das aplicações web vulneráveis que servem para o mesmo propósito que a DVWA:
  • WebGoat é uma aplicação web J2EE deliberadamente vulnerável, mantida por OWASP e desenvolvida para ensinar lições de segurança em aplicações web.
  • Moth é uma imagem do VMware que contém um conjunto de aplicações web e scripts vulneráveis, que podem ser utilizados para testes com scanners de vulnerabilidades em aplicações web, ferramentas de análise de código estático (SCA), dar cursos introdutórios de segurança de aplicações web.
  • BadStore é uma aplicação web para loja virtual que inclui de maneira intencional diferentes falhas de segurança para provar nossos conhecimentos e ferramentas sobre segurança.
  • WebMaven é um ambiente interativo de segurança web que emula várias das falhas mais comuns nas aplicações web.
  • SecuriBench é uma aplicação escrita em java na Universidade de Stanford que inclui as seguintes vulnerabilidades: SQL injection attacks, Cross-site scripting attacks, HTTP splitting attacks e Path traversal attacks, para praticarmos com elas.
  • Mutillidae é um conjunto de scripts vulneráveis escritos em PHP, diferentemente de outras aplicações do mesmo tipo, Mutillidae se diferencia pela simplicidade de seu código, focado nos desenvolvedores iniciantes de aplicações web.
  • SÉRIE HACME, a série Hacme é um conjunto de aplicações web temáticas escritas por Foundstone, que possuem em seu código, de forma deliberada, muitas vulnerabilidades web para que pratiquemos nossos conhecimentos sobre segurança web, dentro dessa série temos um aplicativo web de um cassino Hacme Casino, uma aplicação web de loja virtual Hacme Shipping, um sistema de viagens Hacme Travel e uma aplicação web que simula um banco Hacme Bank.