Sempre que me perguntam o porquê de terem invadido tal site eu costumo dizer que a culpa está entre a cadeira e o teclado (desenvolvedor), não culpo um cms vulnerável ou algo do gênero, pois apesar de todas as falhas existentes nos sistemas de hoje em dia existem muitos métodos de proteção e se estar atualizado é quase uma necessidade.

 

Todos os webmaster’s que não se preocupam em assegurar seus clientes correm um sério risco de ficar para trás no mercado. Sempre digo para qualquer pessoa tomar bastante cuidado com quem contrata para fazer seu website ou sistema web. O mais complicado para os iniciantes que estão estudando para assegurar clientes ou até mesmo começar na área de Pentest, é sair do papel. Saber atacar é quase crucial para aprender a defender, além da curiosidade que causa sim.

Trouxe então alguns frameworks simuladores que você pode ver na prática algumas das falhas mais conhecidas no mercado. O mais interessante desses frameworks é a interação, você não apenas ataca, mas também aprende a se defender. Trouxe apenas três e digo que testei apenas os dois primeiros, todos eles você instala na sua própria máquina em localhost.

Damn Vulnerable Web Application (DVWA) –   http://www.dvwa.co.uk/

Nesse framework você irá aprender técnicas como XSS, SQLi, Blind SQLi, entre outras. Você faz a instalação dele por meio do xampp, assista o vídeo a seguir para entender melhor. O DVWA é desenvolvido por Ryan Dwhurst e faz parte de um projeto OpenSource da RandomStorm.

WebGoat – https://www.owasp.org/index.php/WebGoat_Installation

É um projeto da OWASP (Open Web Application Security Project) que coleciona um conjunto de páginas com vulnerabilidades divididas por algumas categorias, cujo intuito é de ensinar na prática qual o risco de desenvolver aplicações sem o compromisso com a segurança. Cada página possui um objetivo de ataque específico, descrito pelo plano da lição. Outros elementos, como por exemplo, as dicas permitem que o público adquira gradativamente os conhecimentos necessários para a efetivação de ataque a aplicações web.

Hackxor – http://sourceforge.net/projects/hackxor/

Neste game o jogador precisa localizar e explorar vulnerabilidades para progredir através da história do jogo, como se fosse um hacker contratado para rastrear outro hacker. Ele contém scripts vulneráveis a Cross Site Scripting (XSS), Cros Site Request Forgery (CSRF), Structured Query Language Injection (SQLi), Remote Command Injection (RCE), entre outros. Vocês vão entender melhor jogando. No próprio site ensina a instalar.

Conclusão

Todos eles são bem fáceis de instalar e brincar, só tomem cuidado se forem hospedar em algum servidor próprio, pois são vulneráveis. Espero que gostem e se divirtam. Abraços e até mais.

fonte: http://securityattack.com.br