Czyli nie będziesz już miał wymówek.
Wszyscy wiemy, iż w nauce cyberbezpieczeństwa najważniejsza jest praktyka. Jednak często stajemy przed wyzwaniem, które nazywam “paradoks ucznia” – chęci i zapału nie brakuje, ale brak jasnego kierunku i zasobów może skutecznie zniechęcić do dalszej nauki. Na szczęście istnieje wiele platform, które oferują praktyczne wyzwania, umożliwiające rozwijanie umiejętności w realnych scenariuszach.
W niniejszym artykule przedstawiamy aż 80 takich miejsc, które pomogą Ci zacząć i kontynuować naukę cyberbezpieczeństwa. Co ważne, nie wszystkie z tych platform są oparte na popularnym modelu CTF (Capture The Flag). Wiele z nich to projekty dostępne na GitHubie, co czyni je szeroko dostępnymi i łatwymi do rozpoczęcia.
Niezależnie od tego, czy jesteś początkującym, czy masz już pewne doświadczenie w tej dziedzinie, z pewnością znajdziesz coś dla siebie. Nie czekaj więc dłużej – zanurz się w świecie cyberbezpieczeństwa i zacznij swoją przygodę z jedną z polecanych platform! Teraz już nie masz wymówki, by nie rozwijać swoich umiejętności i wiedzy w tym niezwykle ważnym obszarze.
Ze względu na to, iż wiele platform porusza totalnie różne zagadnienia postanowiłem, iż jedyną sensowną kolejnością będzie kolejność alfabetyczna. Nie wpływa ona na ocene.
Oczywiście mam świadomośc, iż platform może i jest o wiele więcej. Te poniższe zostały przez nas zebrane, sprawdzone i polecane.
CI/CD Goat
CI/CD Goat to projekt firmy Cider Security zapewnia celowo podatne na zagrożenia środowisko ciągłej integracji i ciągłego wdrażania (CI/CD). Idealne dla praktyków bezpieczeństwa do testowania i uczenia się o bezpieczeństwie CI/CD. Oferuje ono 11 unikalnych wyzwań, z których każde koncentruje się na konkretnych zagrożeniach bezpieczeństwa CI/CD. Znajdziemy wśród nich: nadużywanie łańcucha zależności i kontrola dostępu oparta na potokach. Środowisko jest oparte na kontenerach Docker, dzięki czemu można je łatwo skonfigurować i uruchomić lokalnie. Umożliwia to użytkownikom symulowanie rzeczywistych ataków i mechanizmów obronnych potoków CI/CD w kontrolowanych warunkach.
AD Lab
AD Lab to repozytorium GitHub oferuje w pełni funkcjonalne środowisko laboratoryjne Active Directory (AD) do testów penetracyjnych. Stworzone przez Alebova, zawiera różne konfiguracje AD i podatności, pozwalając użytkownikom na symulację rzeczywistych scenariuszy ataków w kontrolowanej konfiguracji. To laboratorium jest idealne dla specjalistów ds. bezpieczeństwa i entuzjastów, którzy chcą zrozumieć bezpieczeństwo AD, wykorzystać typowe luki w zabezpieczeniach AD i przećwiczyć techniki łagodzenia skutków.
API Security University
API Security University: API Security University zapewnia bogactwo zasobów edukacyjnych koncentrujących się na bezpieczeństwie API. Oferuje kursy, samouczki i najlepsze praktyki w zakresie zabezpieczania interfejsów API przed różnymi zagrożeniami. Platforma jest przeznaczona dla programistów, specjalistów ds. bezpieczeństwa i wszystkich zainteresowanych poznaniem luk w zabezpieczeniach API, mechanizmów ochrony i najnowszych trendów w zakresie bezpieczeństwa API.
AWSGoat
AWSGoat to celowo podatna na ataki infrastruktura AWS. Zaprojektowana została do celów edukacyjnych. Umożliwia specjalistom ds. cyberbezpieczeństwa ćwiczenie i doskonalenie umiejętności w zakresie identyfikowania i wykorzystywania luk w kontrolowanym środowisku AWS. Platforma ta zapewnia praktyczne doświadczenie poprzez różne scenariusze, z których każdy symuluje rzeczywiste wyzwania związane z bezpieczeństwem w chmurze. AWSGoat to idealne narzędzie zarówno dla początkujących, jak i doświadczonych praktyków, niezbędne do opanowania bezpieczeństwa AWS.
AzureGoat
AzureGoat oferuje celowo niezabezpieczone środowisko Azure stworzone, aby pomóc w nauce i ćwiczeniu technik bezpieczeństwa w chmurze specyficznych dla Microsoft Azure. Zapewnia wiele scenariuszy, które naśladują rzeczywiste kwestie bezpieczeństwa. Jest idealną platformą dla entuzjastów cyberbezpieczeństwa, aby doskonalić swoje umiejętności w wykrywaniu i łagodzeniu luk w zabezpieczeniach specyficznych dla platformy Azure. AzureGoat ma najważniejsze znaczenie dla wszystkich, kto chce pogłębić swoją wiedzę na temat bezpieczeństwa platformy Azure.
CloudGoat
CloudGoat to narzędzie do wdrażania AWS “Vulnerable by Design” opracowane przez Rhino Security Labs. Oferuje ono różne scenariusze w stylu “capture-the-flag”, z których każdy koncentruje się na różnych aspektach bezpieczeństwa AWS. CloudGoat umożliwia użytkownikom wdrażanie celowo podatnych na ataki środowisk AWS w celu przećwiczenia technik wykorzystywania i zrozumienia typowych pułapek bezpieczeństwa. Narzędzie to jest niezbędne dla wszystkich, kto chce poprawić swoją praktyczną wiedzę na temat bezpieczeństwa AWS.
CloudLabsAD
CloudLabsAD to platforma open-source przeznaczona do symulacji środowisk Active Directory w chmurze. Umożliwia specjalistom ds. cyberbezpieczeństwa konfigurowanie i testowanie konfiguracji AD i luk w zabezpieczeniach w ramach chmury. CloudLabsAD jest doskonałym źródłem informacji dla tych, którzy chcą zrozumieć i zabezpieczyć konfiguracje Active Directory, zapewniając realistyczne scenariusze zarówno do celów szkoleniowych, jak i badawczych.
CodeWars
CodeWars to dynamiczna platforma programistyczna, na której programiści doskonalą swoje umiejętności poprzez serię wyzwań programistycznych, znanych jako kata. Dzięki podejściu opartemu na społeczności, użytkownicy mogą tworzyć, rozwiązywać i omawiać szeroki zakres problemów w różnych językach programowania. Platforma oferuje angażujący sposób na ćwiczenie kodowania, poprawę umiejętności rozwiązywania problemów i naukę nowych technik, dzięki czemu jest idealna zarówno dla początkujących, jak i doświadczonych programistów, którzy chcą osiągnąć mistrzostwo poprzez praktyczne doświadczenie i interakcję ze społecznością.
Crackmes
Crackmes to wyspecjalizowana platforma przeznaczona dla entuzjastów inżynierii wstecznej. Zawiera ona kolekcję crackmes – małych programów stworzonych, aby rzucić wyzwanie użytkownikom w zakresie inżynierii wstecznej i łamania oprogramowania. Ćwiczenia te mają różny stopień trudności i zapewniają praktyczne, praktyczne podejście do nauki analizowania, rozumienia i manipulowania oprogramowaniem. Rozwiązując te wyzwania, użytkownicy mogą doskonalić swoje umiejętności w zakresie debugowania, dezasemblacji i analizy binarnej, co jest niezbędne zarówno dla specjalistów ds. cyberbezpieczeństwa, jak i hobbystów.
Vulnerable AD
Projekt Vulnerable Active Directory na GitHub oferuje kompleksowy przewodnik po konfigurowaniu lokalnego środowiska Active Directory. Zaprojektowany jest tak, aby domena była podatna na typowe ataki. Zasób ten jest nieoceniony dla studentów cyberbezpieczeństwa i profesjonalistów poszukujących bezpiecznej przestrzeni do ćwiczenia technik testów penetracyjnych w infrastrukturze Active Directory. Replikując rzeczywiste scenariusze ataków w kontrolowanym laboratorium, użytkownicy mogą rozwijać i doskonalić swoje defensywne i ofensywne umiejętności w zakresie bezpieczeństwa.
CryptoHack
CryptoHack to wciągająca platforma, która przekształca naukę kryptografii w serię interaktywnych zagadek i wyzwań. Skierowana zarówno do początkujących, jak i zaawansowanych użytkowników. Obejmuje podstawowe tematy, takie jak kryptografia symetryczna i klucza publicznego, krzywe eliptyczne i funkcje skrótu. Rozwiązując te łamigłówki, użytkownicy zyskują głębokie zrozumienie zasad i praktyk kryptograficznych, dzięki czemu CryptoHack jest doskonałym narzędziem dla wszystkich, kto chce odkryć fascynujący świat kryptografii poprzez praktyczne, praktyczne doświadczenie.
CrypTool
CrypTool to projekt o otwartym kodzie źródłowym, który oferuje kompleksowe narzędzia i materiały edukacyjne do nauki i eksperymentowania z kryptografią. W wersjach takich jak CT1, CT2, JCT i CTO, zapewnia interaktywne samouczki, symulację algorytmów kryptograficznych i praktyczne doświadczenie dla użytkowników od początkujących do ekspertów. Rozbudowane zasoby CrypTool sprawiają, iż jest to nieoceniona platforma do zrozumienia zarówno klasycznych, jak i nowoczesnych technik szyfrowania. Zapewnia solidną edukację w zakresie praktyk cyberbezpieczeństwa.
Cryptopals
Cryptopals to popularny zestaw wyzwań kryptograficznych zaprojektowanych w celu kształcenia i testowania umiejętności osób w zakresie kryptografii. Oferuje on praktyczne ćwiczenia od poziomu początkującego do zaawansowanego. Obejmuje podstawowe pojęcia, takie jak tryby szyfrów blokowych, kryptografia klucza publicznego i ataki typu padding oracle. Każde wyzwanie zostało opracowane w celu zwiększenia umiejętności rozwiązywania problemów i pogłębienia zrozumienia zasad kryptograficznych. Dzięki temu Cryptopals jest doskonałym źródłem informacji dla wszystkich, kto chce opanować zawiłości szyfrowania i bezpieczeństwa.
CryptoZombies
CryptoZombies to interaktywna platforma, która uczy kodowania zdecentralizowanych aplikacji opartych na blockchainie (DApps) poprzez tworzenie prostych gier. To zabawne i wciągające środowisko edukacyjne zaczyna się od podstaw programowania blockchain i Solidity i stopniowo przechodzi do bardziej złożonych koncepcji. CryptoZombies oferuje gamifikowane podejście do nauki, dzięki czemu jest idealnym zasobem zarówno dla początkujących, jak i doświadczonych programistów zainteresowanych rozwijającą się dziedziną technologii blockchain. Niezależnie od tego, czy chcesz zrozumieć inteligentne kontrakty, czy rozwijać własne DApps, CryptoZombies zapewnia kompleksowe i przyjemne doświadczenie edukacyjne.
CyberDefenders
CyberDefenders to platforma szkoleniowa dla “niebieskich zespołów”, która koncentruje się na wyposażaniu analityków SOC i specjalistów DFIR w praktyczne umiejętności. Oferuje wciągające laboratoria, rzeczywiste scenariusze i programy certyfikacji, takie jak Certified CyberDefender (CCD). Platforma kładzie nacisk na defensywne techniki cyberbezpieczeństwa, od polowania na zagrożenia po reagowanie na incydenty, zapewniając użytkownikom dobre przygotowanie do ochrony przed cyberzagrożeniami i ich łagodzenia. CyberDefenders wyróżnia się podejściem opartym na społeczności, stale ewoluując, aby sprostać potrzebom dzisiejszego krajobrazu cyberbezpieczeństwa.
Damn Vulnerable Bank
Damn Vulnerable Bank to celowo niezabezpieczona aplikacja na Androida stworzona w celach edukacyjnych. Pozwala entuzjastom cyberbezpieczeństwa ćwiczyć i doskonalić swoje umiejętności w identyfikowaniu i wykorzystywaniu luk w zabezpieczeniach. Zaprojektowana jako realistyczna aplikacja bankowa, oferuje praktyczne podejście do zrozumienia różnych luk w zabezpieczeniach, takich jak niezabezpieczone przechowywanie danych, broken authentication i cross-site scripting. Idealny zarówno dla początkujących, jak i doświadczonych specjalistów ds. bezpieczeństwa, służy jako cenne źródło do rozwijania i testowania wiedzy na temat bezpieczeństwa aplikacji mobilnych.
Damn Vulnerable C# Application (API)
Damn Vulnerable C# Application (API) to celowo podatny na ataki webowy interfejs API ASP.NET Core. Zaprojektowany tak, aby pomóc specjalistom ds. bezpieczeństwa i programistom ćwiczyć i doskonalić swoje umiejętności w identyfikowaniu i łagodzeniu typowych luk w API. Platforma symuluje rzeczywiste środowisko. Użytkownicy mogą badać takie kwestie, jak wstrzykiwanie kodu SQL, niezabezpieczona deserializacja i niewłaściwe mechanizmy uwierzytelniania. Jest to kompleksowe narzędzie do nauki i nauczania najlepszych praktyk bezpieczeństwa API w kontrolowanym i bezpiecznym otoczeniu, dzięki czemu jest doskonałym źródłem praktycznych szkoleń i warsztatów.
Damn Vulnerable Cloud Application
Damn Vulnerable Cloud Application to celowo podatna na ataki aplikacja chmurowa. Jej celem jest zademonstrowanie i nauczenie, jak identyfikować i wykorzystywać specyficzne dla chmury kwestie bezpieczeństwa, szczególnie w środowiskach AWS. Projekt ten prezentuje typowe luki w zabezpieczeniach chmury, takie jak eskalacja uprawnień i błędnie skonfigurowane usługi. Zapewnia on realistyczne środowisko dla entuzjastów bezpieczeństwa i profesjonalistów, aby zwiększyć swoje umiejętności w zakresie bezpieczeństwa w chmurze poprzez praktyczne, praktyczne doświadczenie. Jest to wysoce edukacyjny zasób pozwalający zrozumieć zawiłości bezpieczeństwa chmury w nowoczesnych infrastrukturach.
Damn Vulnerable DeFi
Damn Vulnerable DeFi to platforma zaprojektowana w celu nauczania zawiłości bezpieczeństwa zdecentralizowanych finansów (DeFi). Realizuje to poprzez praktyczne wyzwania. Oferuje serię ćwiczeń, które naśladują rzeczywiste luki w zabezpieczeniach DeFi, pomagając użytkownikom zrozumieć i złagodzić takie kwestie, jak exploity inteligentnych kontraktów, ataki typu flash loan i problemy z reentrancją. Skierowana do programistów, badaczy bezpieczeństwa i entuzjastów blockchain. Platforma ta jest nieocenionym źródłem wiedzy na temat bezpieczeństwa DeFi, zapewniając interaktywne i angażujące doświadczenie edukacyjne.
Damn Vulnerable Functions as a Service
Damn Vulnerable Functions as a Service (DVFaaS) to platforma edukacyjna zaprojektowana, aby pomóc programistom, DevOps i specjalistom ds. bezpieczeństwa zrozumieć bezserwerowe luki w zabezpieczeniach. Hostowana jest na AWS Lambda. DVFaaS zawiera celowo niezabezpieczone funkcje bezserwerowe, ułatwiając praktyczną naukę i badanie typowych błędów bezpieczeństwa w implementacjach FaaS. Projekt ten jest zgodny z OWASP Serverless Top 10. Jest również idealny dla tych, którzy chcą wdrażać i uczyć się poprzez praktyke. Platforma jest zbudowana głównie w języku Python przy użyciu frameworka Chalice i wykorzystuje Terraform do wdrażania.
Damn Vulnerable Grade Management System
Damn Vulnerable Grade Management System (DVGM) to projekt typu open-source mający na celu zademonstrowanie powszechnych luk w zabezpieczeniach sieci w symulowanym środowisku akademickim. Aplikacja ta jest praktycznym narzędziem do edukacji w zakresie cyberbezpieczeństwa. Umożliwiaużytkownikom odkrywanie i wykorzystywanie różnych luk w zabezpieczeniach, takich jak SQL injection, XSS i CSRF. Platforma pomaga zdobyć praktyczne doświadczenie i pogłębić swoją wiedzę. Zwłaszcza na temat tego, jak te luki mogą być identyfikowane i łagodzone w rzeczywistych aplikacjach internetowych.
Damn Vulnerable GraphQL Application (DVGA)
Damn Vulnerable GraphQL Application (DVGA) zapewnia kontrolowane środowisko do badania i zrozumienia zagrożeń bezpieczeństwa związanych z GraphQL. Oferuje serię celowo wadliwych konfiguracji GraphQL. Pozwala użytkownikom uczyć się poprzez praktykę, identyfikując i łagodząc luki w zabezpieczeniach, takie jak grupowanie zapytań, ujawnianie informacji i inne. Narzędzie to jest niezbędne dla tych, którzy chcą skutecznie zabezpieczyć swoje punkty końcowe GraphQL.
Damn Vulnerable Hybrid Mobile App (DVHMA)
Damn Vulnerable Hybrid Mobile App (DVHMA) to celowo niezabezpieczona aplikacja na Androida zaprojektowana, aby pomóc specjalistom ds. bezpieczeństwa i programistom zrozumieć typowe luki w hybrydowych aplikacjach mobilnych. Opracowana przy użyciu Apache Cordova, DVHMA ujawnia takie kwestie, jak luki we wstrzyknięciach w pomoście JavaScript do Java, umożliwiając praktyczną praktykę identyfikowania i łagodzenia tych luk w zabezpieczeniach. Służy jako narzędzie edukacyjne do doskonalenia umiejętności w zakresie bezpieczeństwa mobilnego w kontrolowanym, legalnym środowisku.
Damn Vulnerable iOS App (DVIA)
Damn Vulnerable iOS App (DVIA) to aplikacja na iOS celowo wypełniona lukami w zabezpieczeniach. Została zaprojektowana, aby pomóc entuzjastom bezpieczeństwa i programistom w nauce o bezpieczeństwie iOS. Realizuje to poprzez wykorzystywanie różnych luk w zabezpieczeniach, w tym niewłaściwego przechowywania danych, niewystarczającej ochrony warstwy transportowej i niezabezpieczonej komunikacji. To praktyczne narzędzie edukacyjne jest niezbędne dla tych, którzy chcą opanować bezpieczeństwo aplikacji iOS i zrozumieć praktyczne aspekty luk w zabezpieczeniach aplikacji mobilnych.
Damn Vulnerable iOS App v2 (DVIA-v2)
Damn Vulnerable iOS App v2 (DVIA-v2) to zaktualizowana wersja Damn Vulnerable iOS App. Zawiera nowe wyzwania i kwestie bezpieczeństwa do zbadania. To narzędzie edukacyjne jest przeznaczone do zaawansowanej nauki w zakresie bezpieczeństwa iOS. Oferuje rzeczywiste scenariusze do testowania różnych umiejętności w zakresie bezpieczeństwa. Od niezabezpieczonej lokalnej pamięci masowej po luki w sieci i uwierzytelnianiu, DVIA-v2 zapewnia kompleksową platformę do poszerzania wiedzy na temat bezpieczeństwa aplikacji na iOS.
Damn Vulnerable IoT Device (DVID)
Damn Vulnerable IoT Device (DVID) to celowo niezabezpieczona platforma urządzeń IoT. Stworzona, aby pomóc badaczom, programistom i specjalistom ds. bezpieczeństwa poznać typowe luki w zabezpieczeniach urządzeń IoT. Platforma ta oferuje praktyczną ekspozycję na typowe luki w zabezpieczeniach IoT, takie jak niezabezpieczona komunikacja, słabe mechanizmy uwierzytelniania i niewystarczająca walidacja systemu układowego. DVID jest krytycznym zasobem dla wszystkich, kto jest zainteresowany doskonaleniem swoich umiejętności w zakresie zabezpieczania urządzeń Internetu rzeczy (IoT).
Damn Vulnerable Java (EE) Application (DVJA)
Damn Vulnerable Java (EE) Application (DVJA) to celowo niezabezpieczona aplikacja internetowa Java Enterprise Edition. Zaprojektowana do celów szkoleniowych i testowych w zakresie bezpieczeństwa. Hostowana na GitHub, DVJA jest doskonałym źródłem informacji dla programistów i specjalistów ds. bezpieczeństwa, którzy chcą ćwiczyć identyfikowanie i ograniczanie luk w zabezpieczeniach w rzeczywistym środowisku Java. Aplikacja zawiera typowe luki w zabezpieczeniach, zapewniając praktyczne doświadczenie w wykorzystywaniu i zabezpieczaniu aplikacji Java. Jest to idealne rozwiązanie do nauki o bezpieczeństwie aplikacji internetowych, testach penetracyjnych i bezpiecznych praktykach kodowania.
Damn Vulnerable NodeJS Application (DVNA)
Damn Vulnerable NodeJS Application (DVNA) oferuje platformę do nauki i testowania luk w zabezpieczeniach specyficznych dla aplikacji Node.js. Dostępna jest na GitHub. DVNA została zaprojektowana, aby pomóc programistom i entuzjastom bezpieczeństwa ćwiczyć swoje umiejętności w znajdowaniu i naprawianiu błędów bezpieczeństwa w środowisku Node.js. Aplikacja zawiera różne celowe luki w zabezpieczeniach. Dzięki temu jest cennym narzędziem do praktycznej nauki w zakresie bezpieczeństwa sieciowego, testów penetracyjnych i technik bezpiecznego programowania.
Damn Vulnerable Python Web App (DVPWA)
Damn Vulnerable Python Web App (DVPWA) to celowo podatna na ataki aplikacja internetowa Python. Stworzona w celu nauczania i testowania bezpieczeństwa aplikacji internetowych. Dostępna na GitHub. DVPWA jest idealnym środowiskiem dla programistów i specjalistów ds. bezpieczeństwa do ćwiczenia wykorzystywania i zabezpieczania aplikacji internetowych opartych na Pythonie. Obejmuje ona szereg typowych luk w zabezpieczeniach, zapewniając interaktywne i praktyczne podejście do zrozumienia bezpieczeństwa sieci, testów penetracyjnych i zasad bezpiecznego kodowania.
Damn Vulnerable Rails Application (DVRA)
Damn Vulnerable Rails Application (DVRA) to aplikacja internetowa Ruby on Rails celowo pełna luk w zabezpieczeniach. Zaprojektowana do celów edukacyjnych. Hostowana na GitHub. DVRA służy jako praktyczne narzędzie dla programistów i ekspertów ds. bezpieczeństwa do ćwiczenia identyfikowania i łagodzenia luk w środowisku Rails. Aplikacja zawiera kilka typowych błędów bezpieczeństwa, oferując praktyczne doświadczenie, które zwiększa zrozumienie bezpieczeństwa aplikacji internetowych, bezpiecznego kodowania i testów penetracyjnych w Ruby on Rails.
Damn Vulnerable Restaurant
Damn Vulnerable Restaurant to celowo podatna na ataki gra Web API. Przeznaczona dla programistów, etycznych hakerów i inżynierów bezpieczeństwa do ćwiczenia identyfikacji i wykorzystywania luk w zabezpieczeniach. Zbudowana przy użyciu frameworka Python FastAPI. Oferuje środowisko szkoleniowe, które można łatwo rozszerzyć o nowe punkty końcowe i luki w zabezpieczeniach. Idealny do nauki i doskonalenia umiejętności w zakresie bezpieczeństwa API. Projekt zapewnia kompleksową dokumentację i obsługuje zarówno lokalne wdrażanie dzięki Dockera, jak i korzystanie z GitHub Codespaces w celu interaktywnego, gamifikowanego doświadczenia.
Damn Vulnerable Router Firmware (DVRF)
Projekt Damn Vulnerable Router Firmware (DVRF) jest praktycznym narzędziem edukacyjnym zaprojektowanym w celu nauczania użytkowników o bezpieczeństwie sprzętu i architektury procesora poza przestrzenią x86_64. Dostosowany jest do urządzenia Linksys E1550 i kompatybilny z QEMU do emulacji. DVRF zapewnia rzeczywiste scenariusze do ćwiczenia wykrywania i wykorzystywania luk w kontrolowanym środowisku. Zawiera dostęp do kodu źródłowego i szczegółowe przewodniki, dzięki czemu jest doskonałym źródłem informacji zarówno dla początkujących, jak i zaawansowanych użytkowników cyberbezpieczeństwa.
Damn Vulnerable Serverless Application (DVSA)
Damn Vulnerable Serverless Application (DVSA) to projekt OWASP. Projekt ma na celu pomóc specjalistom ds. bezpieczeństwa i programistom zrozumieć typowe kwestie bezpieczeństwa w aplikacjach bezserwerowych. Platforma symuluje środowisko bezserwerowe z celowo niezabezpieczonymi konfiguracjami i lukami w zabezpieczeniach. Umożliwia użytkownikom ćwiczenie i uczenie się, jak identyfikować, wykorzystywać i łagodzić te problemy. To praktyczne podejście pomaga w zrozumieniu unikalnych wyzwań związanych z bezpieczeństwem, jakie stawiają architektury bezserwerowe i zwiększa umiejętności w zakresie skutecznego zabezpieczania wdrożeń bezserwerowych.
Damn Vulnerable Thick Client App
Damn Vulnerable Thick Client App to oparta na języku C# .NET aplikacja. Zaprojektowana zostałą, aby pomóc entuzjastom i profesjonalistom bezpieczeństwa w ćwiczeniu i zrozumieniu luk w zabezpieczeniach specyficznych dla grubych aplikacji klienckich. Projekt zawiera różne celowe błędy bezpieczeństwa. Użytkownicy mogą je wykorzystać, aby dowiedzieć się o typowych kwestiach, takich jak niezabezpieczone przechowywanie, niewłaściwa obsługa danych i słabe mechanizmy uwierzytelniania. Projekt ten ma na celu zwiększenie umiejętności w zakresie zabezpieczania grubych aplikacji klienckich przed rzeczywistymi zagrożeniami.
Damn Vulnerable Web Application (DVWA)
Damn Vulnerable Web Application (DVWA) to aplikacja internetowa PHP/MySQL zaprojektowana, aby pomóc specjalistom ds. bezpieczeństwa i programistom w nauce o bezpieczeństwie aplikacji internetowych. DVWA zawiera szereg luk w zabezpieczeniach. Ich zakres od SQL Injection po Cross-Site Scripting pozwala użytkownikom ćwiczyć wykorzystywanie tych problemów w bezpiecznym środowisku. Dzięki różnym poziomom bezpieczeństwa DVWA pomaga zrozumieć, w jaki sposób różne mechanizmy bezpieczeństwa wpływają na podatność na ataki. Aplikacja jest nieocenionym źródłem wiedzy dla wszystkich, kto chce poprawić swoje umiejętności w zakresie bezpieczeństwa aplikacji internetowych.
Damn Vulnerable Web Services
Damn Vulnerable Web Services to celowo niezabezpieczona aplikacja internetowa i interfejs API. Zaprojektowana do celów szkoleniowych i edukacyjnych w zakresie luk w usługach internetowych. Platforma ta pozwala użytkownikom badać szeroki zakres luk w zabezpieczeniach, takich jak SQL Injection, Cross-Site Scripting (XSS) i Server-Side Request Forgery (SSRF). Jest to cenny zasób dla programistów i entuzjastów bezpieczeństwa. Mogą oni ćwiczyć identyfikowanie i łagodzenie rzeczywistych zagrożeń związanych z usługami sieciowymi w kontrolowanym środowisku.
Damn Vulnerable WordPress Site (DVWPS)
Damn Vulnerable WordPress Site (DVWPS) to celowo podatna na ataki konfiguracja WordPressa. Stworzona na potrzeby szkolenia w zakresie bezpieczeństwa. Zawiera wiele podatnych na ataki luk. Umożliwia użytkownikom ćwiczenie i doskonalenie umiejętności w zakresie identyfikowania i łagodzenia typowych problemów związanych z bezpieczeństwem WordPress. Platforma jest idealna dla specjalistów ds. bezpieczeństwa i entuzjastów, którzy chcą pogłębić swoją wiedzę na temat bezpieczeństwa WordPressa w praktyczny sposób.
Ethernaut
Ethernaut to interaktywna gra wojenna stworzona przez OpenZeppelin. Zaprojektowana została specjalnie w celu nauczania bezpieczeństwa inteligentnych kontraktów Ethereum. Gracze przechodzą przez różne poziomy, z których każdy reprezentuje inną lukę w inteligentnych kontraktach. Rozwiązując te wyzwania, użytkownicy zdobywają praktyczne doświadczenie w identyfikowaniu, wykorzystywaniu i naprawianiu luk w inteligentnych kontraktach, dzięki czemu Ethernaut jest kluczowym narzędziem dla wszystkich zainteresowanego bezpieczeństwem blockchain.
Expose Lab
Expose Lab to platforma edukacyjna oferująca zbiór luk w zabezpieczeniach aplikacji internetowych oraz AD do celów edukacyjnych. Zawiera różne scenariusze, które symulują rzeczywiste zagrożenia bezpieczeństwa. Pozwala użytkownikom ćwiczyć i doskonalić swoje umiejętności w zakresie oceny podatności i testów penetracyjnych. Expose Lab jest doskonałym źródłem dla specjalistów ds. bezpieczeństwa i studentów, którzy mogą rozwijać swoją wiedzę w zakresie bezpieczeństwa aplikacji internetowych poprzez praktyczne, praktyczne doświadczenie. W środku znajduje się również mini CTF.
Game Of Active Directory (GOAD)
Game Of Active Directory (GOAD) to kompleksowe, praktyczne laboratorium zaprojektowane dla entuzjastów cyberbezpieczeństwa i profesjonalistów w celu opanowania bezpieczeństwa Active Directory (AD). Opracowana przez Orange Cyberdefense platforma symuluje rzeczywiste środowisko AD, umożliwiając użytkownikom poznanie różnych technik ataku i obrony poprzez praktyczne ćwiczenia. Konfiguracja laboratorium obejmuje typowe komponenty AD i luki w zabezpieczeniach, zapewniając wciągające doświadczenie w celu zwiększenia umiejętności w zakresie eksploatacji i bezpieczeństwa AD.
Dowiedz się więcej o Game Of Active Directory (GOAD)
Google CTF
Google CTF to coroczny konkurs Capture The Flag organizowany przez Google. Skierowany do badaczy bezpieczeństwa, studentów i entuzjastów. Wydarzenie to obejmuje różnorodne wyzwania. Wyzwania zaczynają się od poziomu początkującego do eksperckiego. Obejmują takie tematy jak kryptografia, exploity binarne, bezpieczeństwo sieciowe i inżynieria wsteczna. Uczestnicy mogą wziąć udział zarówno w rundach kwalifikacyjnych online, jak i w finałowym wydarzeniu na miejscu, co sprawia, iż jest to ekscytująca okazja do przetestowania i poszerzenia swoich umiejętności w zakresie cyberbezpieczeństwa podczas rywalizacji o prestiżowe nagrody.
HackMyVM
HackMyVM to platforma oparta na społeczności. Oferuje zróżnicowaną kolekcję maszyn wirtualnych (VM) dostosowanych do praktyki cyberbezpieczeństwa. Każda maszyna wirtualna przedstawia unikalne wyzwania i podatności. Umożliwia tym samym użytkownikom ćwiczenie testów penetracyjnych, oceny podatności i etycznego hakowania w kontrolowanym środowisku. HackMyVM jest idealny zarówno dla początkujących, jak i zaawansowanych użytkowników. Zapewnia bogate repozytorium scenariuszy, które pomagają doskonalić praktyczne umiejętności i być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa.
HackTheBox
HackTheBox Academy to zaawansowana internetowa platforma edukacyjna oferująca ustrukturyzowane szkolenia z zakresu cyberbezpieczeństwa. Realizowana poprzez interaktywne kursy i praktyczne laboratoria. Przeznaczona jest dla różnych poziomów umiejętności, od początkujących do doświadczonych profesjonalistów. Obejmuje tematy takie jak testy penetracyjne, bezpieczeństwo defensywne i specjalistyczne techniki ataku. Akademia oferuje rzeczywiste scenariusze, laboratoria pentestów w przeglądarce i uznawane w branży certyfikaty, dzięki czemu jest niezbędnym źródłem informacji dla wszystkich, kto chce zbudować lub rozwinąć swoją karierę w dziedzinie cyberbezpieczeństwa.
Hands-on Azure Security Labs
Hands-on Azure Security Labs znajdziemy w witrynie GitHub, gdzie oferuje kompleksową serię praktycznych laboratoriów. Zaprojektowane są w celu lepszego zrozumienia zabezpieczeń usługi Azure IaaS. Laboratoria te obejmują wiele istotnych tematów związanych z bezpieczeństwem, takich jak sieciowe grupy zabezpieczeń (NSG), dzienniki Azure Networking, zarządzanie zaporą, bezpieczeństwo aplikacji dzięki WAF, bezpieczeństwo magazynu dzięki szyfrowania i bezpieczny dostęp VPN. Te laboratoria są idealne zarówno dla początkujących, jak i zaawansowanych użytkowników. Zapewniają praktyczne podejście do zabezpieczania środowisk Azure, zapewniając możliwość zastosowania najlepszych praktyk i skutecznej poprawy stanu bezpieczeństwa w chmurze.
IAM Vulnerable
IAM Vulnerable to celowo podatne na ataki środowisko AWS Identity and Access Management (IAM). Środowisko zostało zaprojektowane przez BishopFox. Projekt ten jest idealny dla specjalistów ds. bezpieczeństwa, którzy chcą sprawdzić swoje umiejętności w identyfikowaniu i wykorzystywaniu typowych błędnych konfiguracji IAM. Obejmuje on różne scenariusze, które odzwierciedlają rzeczywiste luki w zabezpieczeniach, pomagając użytkownikom zrozumieć znaczenie bezpiecznych zasad i praktyk IAM. Niezależnie od tego, czy jesteś początkującym, czy ekspertem, IAM Vulnerable stanowi nieocenione źródło wiedzy na temat bezpieczeństwa AWS.
ICS Security Labs
ICS Security Labs to repozytorium poświęcone bezpieczeństwu przemysłowych systemów sterowania (ICS). Projekt ten obejmuje różne ćwiczenia laboratoryjne mające na celu nauczenie podstaw bezpieczeństwa ICS. Zawiera w sobie m.in. tematykę modelowania zagrożeń, oceny luk w zabezpieczeniach i reagowania na incydenty. Laboratoria obejmują różne protokoły ICS i zapewniają praktyczny wgląd w zabezpieczanie infrastruktury krytycznej. Zasób ten jest niezbędny dla specjalistów ds. cyberbezpieczeństwa koncentrujących się na ochronie środowisk przemysłowych, oferując praktyczne doświadczenie z rzeczywistymi wyzwaniami związanymi z bezpieczeństwem ICS.
LetsDefend
LetsDefend oferuje kompleksowe środowisko szkoleniowe przeznaczone dla profesjonalistów z “niebieskiego zespołu”. Platforma symuluje rzeczywiste scenariusze cyberobrony, umożliwiając użytkownikom doskonalenie umiejętności w zakresie reagowania na incydenty, wyszukiwania zagrożeń i operacji bezpieczeństwa. Dzięki interaktywnemu pulpitowi nawigacyjnemu użytkownicy mogą badać incydenty bezpieczeństwa, analizować dane o zagrożeniach i pracować nad realistycznymi przypadkami, które naśladują rzeczywiste wyzwania związane z cyberbezpieczeństwem. LetsDefend jest idealny dla entuzjastów cyberbezpieczeństwa i profesjonalistów, którzy chcą rozwijać swoje zdolności obronne w kontrolowanym, praktycznym otoczeniu.
MemLabs
MemLabs to zasób edukacyjny oferujący laboratoria w stylu Capture-The-Flag (CTF). Koncentruje się na kryminalistyce pamięci. MemLabs zapewnia różne wyzwania, które symulują rzeczywiste scenariusze analizy pamięci. Laboratoria te pomagają użytkownikom rozwijać umiejętności wykrywania i analizowania złośliwych działań w zrzutach pamięci, co czyni je niezbędnym narzędziem dla wszystkich, kto chce specjalizować się w kryminalistyce cyfrowej i reagowaniu na incydenty.
Offensive Security Labs
Offensive Security Labs zapewniają najnowocześniejszą bazę szkoleniową dla specjalistów ds. cyberbezpieczeństwa. Koncentrują się na technikach ofensywnych. Laboratoria te oferują dostęp do różnorodnych środowisk, które symulują rzeczywiste sieci i aplikacje. Umożliwiają użytkownikom ćwiczenie i doskonalenie umiejętności w zakresie testów penetracyjnych i red teamingu. Dzięki różnym poziomom trudności i ciągłym aktualizacjom środowisk laboratoryjnych, Offensive Security Labs zapewniają, iż użytkownicy pozostają na bieżąco z najnowszymi zagrożeniami i mechanizmami obronnymi w cyberbezpieczeństwie.
OverTheWire
OverTheWire oferuje serię interaktywnych gier wojennych z zakresu cyberbezpieczeństwa. Celem gier jest pomoc użytkownikom w rozwijaniu i doskonaleniu umiejętności związanych z bezpieczeństwem. Każda z nich, takich jak Bandit, Natas i Leviathan, oferuje unikalne wyzwania, które koncentrują się na różnych aspektach bezpieczeństwa. Możemy przetestować naszą biegłość w wierszu poleceń systemu Linux, luki w zabezpieczeniach sieci i znajomość kryptografii. Gracze łączą się z tymi grami przez SSH, co pozwala im ćwiczyć w realistycznym środowisku. OverTheWire jest idealny zarówno dla początkujących, jak i zaawansowanych użytkowników, którzy chcą pogłębić swoją wiedzę na temat cyberbezpieczeństwa w praktyczny i wciągający sposób.
OWASP crAPI
OWASP crAPI (Completely Ridiculous API) to podatny na ataki interfejs API zaprojektowany do celów szkoleniowych w zakresie bezpieczeństwa. Zapewnia rzeczywiste środowisko, w którym programiści i specjaliści ds. bezpieczeństwa mogą uczyć się o kwestiach bezpieczeństwa API i testować swoje umiejętności. crAPI zawiera różne celowe luki w zabezpieczeniach. Oferuje praktyczne doświadczenie w identyfikowaniu i łagodzeniu zagrożeń związanych z API. Platforma ta jest świetnym zasobem dla wszystkich, kto chce poszerzyć swoją wiedzę na temat bezpiecznego rozwoju API.
OWASP Juice Shop
OWASP Juice Shop to celowo niezabezpieczona aplikacja internetowa opracowana do celów szkoleniowych w zakresie bezpieczeństwa. Symuluje ona nowoczesną platformę e-commerce z licznymi podatnościami, zapewniając praktyczne środowisko do nauki dla entuzjastów bezpieczeństwa sieciowego. Użytkownicy mogą ćwiczyć wykorzystywanie typowych słabości aplikacji internetowych, takich jak XSS, SQL injection i CSRF. Juice Shop jest idealny dla tych, którzy chcą zdobyć praktyczne doświadczenie w zakresie bezpieczeństwa sieciowego, oferując kompleksowy i angażujący sposób na poprawę swoich umiejętności hakerskich i obronnych. Zawiera w sobie również mini platformę CTF.
OWASP Mutillidae II
OWASP Mutillidae II to aplikacja internetowa o otwartym kodzie źródłowym, celowo podatna na ataki, zaprojektowana do celów edukacyjnych. Obejmuje ona szeroki zakres kwestii bezpieczeństwa, w tym podatności OWASP Top Ten. Oferuje solidną platformę do nauki i testowania umiejętności w zakresie bezpieczeństwa sieci. Użytkownicy mogą ćwiczyć wykorzystywanie i łagodzenie luk w kontrolowanym środowisku, dzięki czemu jest to nieocenione narzędzie zarówno dla początkujących, jak i doświadczonych specjalistów ds. bezpieczeństwa, którzy chcą lepiej zrozumieć bezpieczeństwo aplikacji internetowych.
OWASP NodeGoat
OWASP NodeGoat to narzędzie edukacyjne zaprojektowane, aby pomóc programistom zrozumieć i złagodzić OWASP Top 10 zagrożeń bezpieczeństwa w aplikacjach Node.js. Oferuje praktyczne środowisko w którym użytkownicy mogą badać rzeczywiste luki w zabezpieczeniach i uczyć się najlepszych praktyk w zakresie zabezpieczania aplikacji internetowych. Angażując się w NodeGoat, programiści zyskują cenny wgląd w typowe luki w zabezpieczeniach i sposoby ich skutecznego rozwiązywania. W efekcie zwiększają swoje umiejętności w tworzeniu solidnych, bezpiecznych aplikacji Node.js.
PicoCTF
PicoCTF to renomowana platforma z zakresu cyberbezpieczeństwa opracowana przez Carnegie Mellon University. Skierowana jest głównie do uczniów szkół średnich. Zapewnia wciągające, grywalizacyjne środowisko, w którym uczestnicy rozwiązują wyzwania, aby nauczyć się podstawowych koncepcji i umiejętności w zakresie cyberbezpieczeństwa. Dzięki zróżnicowanemu zakresowi problemów, PicoCTF jest doskonałym źródłem zarówno dla początkujących, jak i zaawansowanych uczniów, aby rozwijać i testować swoją wiedzę z zakresu cyberbezpieczeństwa w zabawnym i konkurencyjnym otoczeniu.
PortSwigger Web Security Academy
PortSwigger Web Security Academy oferuje bezpłatne, wysokiej jakości labolatoria online dla wszystkich zainteresowanych bezpieczeństwem webaplikacji. Akademia zawiera interaktywne laboratoria i szczegółowe samouczki obejmujące różne aspekty bezpieczeństwa aplikacji internetowych, od podstawowych luk w zabezpieczeniach po zaawansowane techniki wykorzystywania. Ten zasób jest idealny dla specjalistów ds. bezpieczeństwa i programistów, którzy chcą pogłębić swoje zrozumienie zasad i praktyk bezpieczeństwa sieciowego. Zwiaksza to finalnie ich zdolność do obrony przed nowoczesnymi zagrożeniami internetowymi. Labolatoria skupiają się przede wszystkim na używaniu narzędzia Burp Suite i przygotowują do egzaminu Burp Suite Certified Practitioner (BSCP).
Dowiedz się więcej o PortSwigger Web Security Academy
PWNable.kr
PWNable.kr to wciągająca platforma poświęcona wyzwaniom związanym z exploitami binarnymi. Zaprojektowana dla entuzjastów cyberbezpieczeństwa, oferuje różne poziomy, od początkującego do zaawansowanego, pozwalając użytkownikom doskonalić swoje umiejętności w zakresie inżynierii wstecznej, exploitacji binarnej i debugowania. Każde wyzwanie symuluje rzeczywiste luki w zabezpieczeniach, zapewniając praktyczne środowisko do zastosowania wiedzy teoretycznej. Idealny zarówno dla studentów, jak i profesjonalistów, PWNable.kr sprzyja głębszemu zrozumieniu bezpieczeństwa systemu i złożoności manipulacji kodem binarnym.
PurpleCloud
PurpleCloud to wszechstronne narzędzie, które tworzy małe domeny Active Directory na platformie Azure. Skonfigurowane są one na potrzeby symulacji cyberzakresu hybrydowego i tożsamości. Narzędzie to jest nieocenione dla specjalistów ds. bezpieczeństwa i edukatorów, którzy potrzebują praktycznego środowiska do badania konfiguracji Azure Active Directory, wdrażania środków bezpieczeństwa i przeprowadzania symulacji ataków. Zautomatyzowane tworzenie laboratoriów PurpleCloud ułatwia praktyczną naukę i eksperymentowanie, czyniąc z niego potężne źródło wiedzy i obrony przed atakami opartymi na tożsamości.
PWNED Labs
PWNED Labs to kompleksowa platforma szkoleniowa w zakresie cyberbezpieczeństwa. Oferuje ona szeroki wachlarz praktycznych laboratoriów i wyzwań. Jest przeznaczona dla wszystkich poziomów umiejętności, od nowicjuszy po doświadczonych profesjonalistów. Obejmuje różne aspekty cyberbezpieczeństwa, w tym testy penetracyjne, inżynierię wsteczną i opracowywanie exploitów. Dzięki rzeczywistym scenariuszom i aktualnym treściom, PWNED Labs zapewnia użytkownikom przewagę w gwałtownie rozwijającej się dziedzinie cyberbezpieczeństwa. Interaktywne podejście i szczegółowe samouczki sprawiają, iż jest to nieocenione źródło informacji dla wszystkich, kto chce zwiększyć swoje praktyczne umiejętności i wiedzę.
RE Challenges
RE Challenges to profesjonalnie wyselekcjonowana witryna skupiająca się na ćwiczeniach z zakresu inżynierii odwrotnej. Stworzona przez Dennisa Yuricheva, czerpie inspirację z Project Euler i innych renomowanych platform. Witryna oferuje liczne zadania podzielone na kategorie trudności. Zachęca tym samym użytkowników do analizowania i rozumienia złożonych struktur kodu. Zapewniaja szeroki zakres wyzwań, od prostych po skomplikowane. RE Challenges pomaga użytkownikom budować i doskonalić swoje umiejętności inżynierii wstecznej.
RHme Challenges 2015
RHme Challenges 2015 przedstawia wyrafinowane wyzwanie hakerskie w postaci systemu opartego na Arduino. Zapoczątkowane podczas BlackHat Amsterdam 2015, to umiarkowane wyzwanie wymaga od uczestników zastosowania zarówno sprzętowych, jak i programowych technik ataku w celu wyodrębnienia flag i ostatecznie odzyskania klucza administratora. Wyzwanie to jest idealne dla entuzjastów bezpieczeństwa, którzy chcą pogłębić swoje zrozumienie niskopoziomowych zabezpieczeń sprzętowych i zbadać różne techniki exploitów, w tym ataki side-channel i wstrzykiwanie błędów.
RHme Challenges 2016
RHme Challenges 2016 kontynuuje tradycję złożonych wyzwań hakerskich opartych na sprzęcie. Uczestnicy mają za zadanie wykorzystać luki w systemie opartym na Arduino, koncentrując się zarówno na wektorach ataków sprzętowych, jak i programowych. To wyzwanie kładzie nacisk na kreatywne rozwiązywanie problemów i głęboką wiedzę techniczną.
RHme Challenges 2017
RHme Challenges 2017 oferuje kolejny rok zaawansowanych wyzwań hakerskich zaprojektowanych tak, aby przesunąć granice umiejętności uczestników. Koncentruje się na połączeniu manipulacji sprzętem i eksploatacji oprogramowania. Wyzwanie to wymaga szczegółowego zrozumienia bezpieczeństwa systemów wbudowanych. Idealne zarówno dla doświadczonych specjalistów ds. bezpieczeństwa, jak i hobbystów. Wyzwanie 2017 zapewnia kompleksową platformę do odkrywania zawiłości bezpieczeństwa sprzętu i wykorzystywania luk w zabezpieczeniach.
Root Me
Root Me to kompleksowa platforma oferująca szeroki wachlarz wyzwań z zakresu cyberbezpieczeństwa i ćwiczeń CTF. Obejmuje kategorie takie jak bezpieczeństwo sieciowe, kryptografia, kryminalistyka i nie tylko, Root Me zapewnia użytkownikom interaktywne środowisko do ćwiczeń. Platforma jest odpowiednia zarówno dla początkujących, jak i ekspertów. Oferuje zasoby edukacyjne i oparte na społeczności podejście do nauki cyberbezpieczeństwa poprzez praktyczne doświadczenie.
ROP Emporium
ROP Emporium oferuje zestaw wyzwań związanych z Return-Oriented Programming (ROP). Wyzwania zaprojektowane są w celu nauczania i testowania umiejętności w zakresie binary exploitation. Skupiając się na praktycznej nauce, platforma zapewnia szereg scenariuszy, które stopniowo zwiększają poziom trudności. Jest idealnym źródłem wiedzy zarówno dla początkujących, jak i zaawansowanych użytkowników. Każde wyzwanie symuluje rzeczywiste luki w zabezpieczeniach, umożliwiając uczestnikom ćwiczenie technik tworzenia exploitów w kontrolowanym środowisku. Niezależnie od tego, czy przygotowujesz się do certyfikatu bezpieczeństwa, konkursu, czy też poszerzasz swoją osobistą wiedzę, ROP Emporium jest cennym narzędziem do opanowania ROP.
Sad Servers
Sad Servers to platforma szkoleniowa skierowana do specjalistów DevOps i Site Reliability Engineering (SRE). Oferuje różnorodne wyzwania związane z rozwiązywaniem problemów z serwerami Linux. Scenariusze te naśladują rzeczywiste problemy z serwerami, pomagając użytkownikom rozwijać umiejętności debugowania i zarządzania incydentami. Od naprawiania wdrożeń Kubernetes po rozwiązywanie błędów konfiguracji serwera WWW, każde zadanie zapewnia wszechstronne, praktyczne doświadczenie edukacyjne. Sad Servers jest idealny dla wszystkich, kto przygotowuje się do technicznych rozmów kwalifikacyjnych lub chce poprawić swoją wiedzę operacyjną w zakresie rozwiązywania problemów w praktycznym otoczeniu.
SadCloud
SadCloud to projekt open-source opracowany przez NCC Group. Koncentruje się on na błędnych konfiguracjach bezpieczeństwa w chmurze. Hostowane na GitHub repozytorium oferuje zbiór typowych błędów bezpieczeństwa w chmurze i ich skryptów exploitów. SadCloud służy jako zasób edukacyjny, który pomaga użytkownikom identyfikować i ograniczać potencjalne zagrożenia w infrastrukturach chmurowych, promując lepsze praktyki bezpieczeństwa i świadomość w zarządzaniu usługami w chmurze.
SANS Holiday Hack Challenge
SANS Holiday Hack Challenge to coroczny konkurs cyberbezpieczeństwa, który łączy świąteczne motywy z poważnymi wyzwaniami w zakresie bezpieczeństwa. Wydarzenie to, organizowane przez SANS Institute, obejmuje różnorodne łamigłówki i scenariusze. Obejmuje szeroki zakres tematów związanych z cyberbezpieczeństwem, od kryminalistyki cyfrowej po testy penetracyjne. Każdego roku uczestnicy angażują się w zabawną, opartą na narracji przygodę podczas rozwiązywania złożonych problemów związanych z bezpieczeństwem, dzięki czemu jest to zarówno edukacyjne, jak i rozrywkowe doświadczenie. Holiday Hack Challenge jest idealny dla entuzjastów bezpieczeństwa, którzy chcą doskonalić swoje umiejętności i cieszyć się odrobiną świątecznej radości.
TryHackMe
TryHackMe to interaktywna platforma szkoleniowa z zakresu cyberbezpieczeństwa. Oferuje szeroki zakres praktycznych laboratoriów i wyzwań zaprojektowanych w celu poprawy umiejętności zarówno początkujących, jak i ekspertów. Realizuje to w konwencji CTF. Użytkownicy mogą poznać różne tematy związane z cyberbezpieczeństwem poprzez ćwiczenia z przewodnikiem i rzeczywiste scenariusze. Zakres platformy obejmuje takie obszary, jak testy penetracyjne, bezpieczeństwo sieci i kryminalistyka cyfrowa. Koncentrując się na praktycznej nauce i zaangażowaniu społeczności, TryHackMe jest cennym zasobem dla wszystkich, kto chce poszerzyć swoją wiedzę i umiejętności w zakresie cyberbezpieczeństwa w zorganizowanym, angażującym środowisku.
UnderTheWire
UnderTheWire oferuje serię gier wojennych opartych na PowerShell. Zaprojektowane są w celu nauczania i doskonalenia umiejętności pisania skryptów Windows PowerShell poprzez praktyczne wyzwania. Każda gra zapewnia zestaw zadań, które symulują rzeczywiste scenariusze. Wymagają od uczestników zastosowania swojej wiedzy i umiejętności rozwiązywania problemów w celu osiągnięcia postępów. Platforma ta jest idealna dla profesjonalistów IT i entuzjastów cyberbezpieczeństwa, którzy chcą zwiększyć swoją biegłość w PowerShell w praktyczny, interaktywny sposób.
vAPI
vAPI (Vulnerable Adversely Programmed Interface) oferuje samoobsługowy interfejs API zaprojektowany w celu naśladowania luk OWASP top 10 API. Idealny do testowania bezpieczeństwa i nauki, vAPI zapewnia realistyczne środowisko dla programistów i specjalistów ds. bezpieczeństwa, aby zrozumieć i złagodzić typowe luki w API. Jest łatwy do wdrażania za pośrednictwem Dockera i manualnej konfiguracji. Zapewnia wszechstronną i dostępną platformę do poszerzania wiedzy na temat bezpieczeństwa API.
Vulnerable Active Directory
Vulnerable Active Directory zapewnia celowo niezabezpieczone środowisko Active Directory (AD). Jest zaprojektowane do przeprowadzania testów penetracyjnych i ocen bezpieczeństwa. Platforma ta jest idealna dla entuzjastów cyberbezpieczeństwa i profesjonalistów, aby zbadać słabe punkty AD i poprawić swoje umiejętności obronne.
Vulnerable Active Directory Plus
Vulnerable Active Directory Plus rozszerza możliwości standardowego środowiska podatnego na ataki AD o dodatkowe scenariusze i złożoność. Platforma ta jest dostosowana do potrzeb zaawansowanych specjalistów ds. bezpieczeństwa. Oferuje kompleksowe ćwiczenia, które replikują wyrafinowane wektory ataku, dzięki czemu jest solidnym narzędziem do doskonalenia umiejętności testowania penetracyjnego.
Vulnerable App with Examples from OWASP
Vulnerable App with Examples od OWASP ilustruje niebezpieczeństwa związane z niewłaściwym zarządzaniem sekretami dzięki praktycznych przykładów. Ta platforma edukacyjna podkreśla typowe błędy w obsłudze sekretów. Pokazując, czego nie należy robić, wyposaża programistów w wiedzę pozwalającą skutecznie zabezpieczyć poufne informacje.
Vulnerable REST API (VAmPI)
VAmPI (Vulnerable REST API) oferuje praktyczną platformę do testowania bezpieczeństwa pod kątem luk OWASP Top 10 API. Został zaprojektowany w celu ćwiczenia identyfikowania i łagodzenia problemów związanych z bezpieczeństwem API. VAmPI zapewnia realistyczne środowisko do lepszego zrozumienia i reagowania na typowe zagrożenia bezpieczeństwa API.
VulnHub
VulnHub zapewnia obszerną kolekcję podatnych na ataki maszyn wirtualnych. Każda maszyna wirtualna została stworzona w celu symulacji rzeczywistych luk w zabezpieczeniach. Platforma oferuje szereg poziomów trudności odpowiednich zarówno dla początkujących, jak i doświadczonych osób. Platforma zachęca do praktycznego podejścia do nauki, umożliwiając użytkownikom pobieranie i wykorzystywanie tych maszyn wirtualnych w kontrolowanym środowisku.
VulnLab
VulnLab oferuje dynamiczną platformę przeznaczoną dla entuzjastów cyberbezpieczeństwa i profesjonalistów do testowania swoich umiejętności w różnych symulowanych wyzwaniach hakerskich. Koncentrując się na lukach w zabezpieczeniach aplikacji internetowych, VulnLab zapewnia kontrolowane środowisko, w którym użytkownicy mogą ćwiczyć wykorzystywanie typowych luk w zabezpieczeniach. Platforma wspiera podejście oparte na społeczności, umożliwiając użytkownikom dzielenie się swoimi odkryciami i współpracę nad rozwiązaniami.
Webhacking.kr
Webhacking.kr to platforma dla osób zainteresowanych opanowaniem bezpieczeństwa aplikacji internetowych poprzez praktyczne wyzwania. Oferuje różnorodne zadania, od poziomu początkującego do eksperckiego. Koncentruje się na rzeczywistych lukach w zabezpieczeniach sieci. Użytkownicy mogą doskonalić swoje umiejętności w takich obszarach jak wstrzykiwanie kodu SQL, cross-site scripting (XSS) i inne ataki internetowe.
XSS Game
XSS Game, opracowana przez PwnFunction, to interaktywna platforma poświęcona nauczaniu i testowaniu umiejętności związanych z lukami w zabezpieczeniach Cross-Site Scripting (XSS). Oferuje serię progresywnych wyzwań, które symulują rzeczywiste scenariusze, umożliwiając użytkownikom ćwiczenie identyfikacji i wykorzystywania luk XSS. Format przypominający grę sprawia, iż nauka jest wciągająca i skuteczna.
CTFTime
CTFTime to wiodąca platforma dla konkursów Capture The Flag (CTF), gromadząca informacje o wydarzeniach CTF na całym świecie. Nie jest ona platformą do nauki sama w sobie. Z tego powodu jest tutaj jako ostatnia wymieniona. Służy jako centrum dla entuzjastów cyberbezpieczeństwa do uczestniczenia, organizowania i śledzenia konkursów CTF. Użytkownicy mogą dołączać do zespołów, rywalizować w różnych wyzwaniach i poprawiać swoje rankingi w globalnej tabeli liderów. CTFTime wspiera tętniącą życiem społeczność. Społecznośc której celem jest doskonalenie umiejętności w zakresie bezpieczeństwa sieci, inżynierii wstecznej i kryptografii poprzez angażujące i konkurencyjne wydarzenia.
Podsumowanie
Cyberbezpieczeństwo to dziedzina, która nieustannie się rozwija, stawiając przed specjalistami nowe wyzwania i wymagając od nich ciągłego doskonalenia swoich umiejętności. Dzięki dostępności licznych platform do praktycznej nauki, każdy może zdobywać doświadczenie i umiejętności, które są niezbędne do skutecznej ochrony systemów informatycznych.
W artykule przedstawiliśmy 80 platform, które oferują zróżnicowane podejście do nauki cyberbezpieczeństwa – od tradycyjnych CTF-ów, po bardziej praktyczne projekty dostępne na GitHubie. Taka różnorodność pozwala na wybór odpowiednich narzędzi i zasobów, dopasowanych do indywidualnych potrzeb i poziomu zaawansowania. Dzięki temu, niezależnie od tego, czy dopiero zaczynasz swoją przygodę z cyberbezpieczeństwem, czy chcesz pogłębić już posiadaną wiedzę, znajdziesz tu coś dla siebie.
Teraz, mając do dyspozycji tak bogaty zestaw zasobów, nie musisz już borykać się z “paradoksem ucznia”. Masz w rękach narzędzia, które pomogą Ci usystematyzować naukę, zrealizować swoje cele i stać się prawdziwym ekspertem w dziedzinie cyberbezpieczeństwa. Wykorzystaj dostępne platformy, podejmij się wyzwań i rozwijaj swoje umiejętności. Teraz nie masz już żadnych wymówek – czas zacząć działać!
Daj znać w komentarzu, ktra platforma jest Twoja ulubiona lub czy masz jakieś przemyślenia? A może chcesz abyśmy w ramach SecurityBezTabu.pl pokazali niektóre z nich – proces instalacji oraz przejścia.