PARA APRENDER A HACKEAR
Se você for um hacker ético, pode ser difícil testar suas habilidades sem prejudicar ninguém. Felizmente, existem recursos que fornecem uma caixa de proteção para hackers, um lugar para aprender e, ao mesmo tempo, sem complicações legais.
Aqui estão alguns sites para testar sua coragem sem se meter em problemas.
Em primeiro lugar, recomendo que você verifique:
- Como criar um Laboratório de Pentesting para Android
- Melhores Distribuições Linux para Pentesting e Hacking
- 5 melhores distros Linux para testes de segurança
1. OS 5 PRINCIPAIS SITES PARA APRENDER A HACKEAR
1.1. GOOGLE GRUYERE
O Google Gruyere é a entrada do gigante da web no mundo do hacking. O site é cheio de buracos e usa o código "brega", daí seu nome relacionado a queijo (queijo / Gruyer). Até o site tem o tema do queijo!
Quando você estiver pronto para começar, o Google Gruyere apresentará alguns desafios para você fazer. O Google Gruyere apresenta um código deliberadamente fraco e vulnerável para você explorar. Os problemas destacam essas áreas fracas e dão a você uma tarefa a cumprir. Por exemplo, um desafio é injetar caixas de alerta HTML na função snippet / snippet do site, que é acionada quando o usuário carrega a página.
Se você não souber como concluir um desafio, não se preocupe. Cada missão vem com algumas dicas para ajudá-lo a se mover na direção certa. Se isso não ajudar, você pode ver a solução e implementá-la você mesmo para ter uma ideia de como o exploit funciona.
1.2. HACKEAR ESTE SITE!
Hack este site é um recurso de aprendizagem fantástico. Ele varia de aulas para iniciantes a hospedagem de uma linha telefônica dedicada para ataques de phreak .
Algumas das missões têm uma pequena história para mantê-lo envolvido com as lições. Por exemplo, os alunos do curso Básico ficarão cara a cara com o Network Security Sam . Sam é um homem esquecido que insiste em armazenar sua senha no site para nunca se esquecer dela. Cada vez que você quebra sua segurança e descobre sua senha, ele adiciona mais segurança ao seu site.
Exercícios "realistas" também são bons. Esses são sites falsos, configurados para serem hackeados com um objetivo específico em mente. Você pode estar manipulando um sistema de votação para levar uma gangue ao primeiro lugar ou desfazendo o trabalho de pessoas rancorosas que invadiram um site de poesia sobre a paz.
Cada quebra-cabeça vem com um tópico dedicado nos fóruns, onde você pode obter ajuda. Problemas e discussões já existem há muito tempo e os usuários postaram muitos recursos úteis. Ninguém dirá diretamente a solução para cada desafio, então você não precisa se preocupar com spoilers. No entanto, se você estiver disposto a fazer alguma pesquisa, encontrará dicas e conselhos mais do que suficientes para resolver seu quebra-cabeça.
1.3. BWAPP
Embora hackear sites seja útil, existem alguns bugs e vulnerabilidades que ele não pode cobrir. Por exemplo, esses sites não podem hospedar desafios que envolvam a remoção de um site; Se o fizessem, ninguém mais teria a chance depois!
Como tal, é melhor realizar ataques mais devastadores em um servidor auto-hospedado, para não danificar os sites de outras pessoas. Se você estiver interessado nesta área de hacking, experimente o aplicativo da web com bugs (bWAPP).
A principal força do bWAPP é seu grande número de bugs. Ele tem mais de 100 deles, variando de fraquezas de negação de serviço direta (DDoS) a vulnerabilidades Heartbleed e HTML5 ClickJacking. Se você quiser informações sobre uma vulnerabilidade específica, há uma boa chance de que o bWAPP a tenha implementado.
Quando você quiser experimentá-lo, baixe-o e execute-o em seu sistema de destino. Uma vez em execução, você pode lançar ataques sem se preocupar em irritar um webmaster.
1.4. DEFENDA A WEB
Poucos sites o convidam ativamente para invadir seus títulos, mas DefendtheWeb é uma exceção. Claro, você não está hackeando o site real, mas ele oferece desafios para tentar.
Defend the Web tem uma grande variedade de desafios em diferentes categorias, então você com certeza encontrará algo para testar a si mesmo. Existem desafios fundamentais e desafios difíceis para tentar, dependendo do seu nível de habilidade. Se você quiser tentar descobrir códigos CAPTCHA simples, há um segmento completo para isso.
Existe até uma categoria "Real" que inclui cenários fictícios hilariantes em que você invade um site para um cliente.
A melhor parte de DefendtheWeb são as pistas. Cada quebra-cabeça tem uma página de dicas dedicada, onde você pode conversar com os membros do fórum e discutir onde errou. Os membros nunca lhe darão a solução, para que você possa descobri-la sozinho, sem spoilers.
1,5. OVERTHEWIRE
OverTheWire apresenta jogos de guerra e zonas de guerra para sessões de hacking mais avançadas. Jogos de guerra ou jogos de guerra são cenários de hacking únicos, geralmente com um pouco de história para apimentar as coisas. Os jogos de guerra podem ser um evento competitivo entre hackers, seja como uma corrida ou atacando os servidores uns dos outros.
Embora isso possa parecer complicado e assustador, não se preocupe. O site ainda oferece lições que vão desde o básico até truques mais avançados. Ele requer uma conexão Secure Shell (SSH) para usá-lo, portanto, certifique-se de aprender o SSH se quiser experimentar o OverTheWire. Felizmente, existem maneiras fáceis de configurar o SSH no Windows, então não deve ser um grande obstáculo.
2. MAIS SITES PARA PRATICAR HACKING
| Site web | Descrição |
|---|---|
| Arizona Cyber Warfare Range | Os intervalos fornecem uma ótima plataforma para você aprender sobre ataques à rede de computadores (CNA), defesa da rede de computadores (CND) e computação forense digital (DF). Você pode fazer qualquer uma dessas funções. |
| Avatão | Mais de 350 desafios práticos (gratuitos e pagos) para dominar a segurança de TI e crescer a cada dia. |
| BodgeIt Store | A BodgeIt Store é um aplicativo da web vulnerável que atualmente tem como alvo pessoas que são novas no mundo do pentesting. |
| Graus cibernéticos | Cursos Online Grátis de Cibersegurança Cursos Online Abertos Massivos (MOOCS). |
| Base de segurança cibernética | Cyber Security Base é uma página com cursos gratuitos da Universidade de Helsinque em colaboração com a F-Secure. |
| Cybersecuritychallenge UK | O Cyber Security Challenge UK realiza uma série de concursos desenvolvidos para testar suas habilidades em segurança cibernética. |
| CyberTraining 365 | Cybertraining365 tem material pago, mas também oferece aulas gratuitas. O link é direcionado para as aulas gratuitas. |
| Cybrary.it | Aprendizagem de cibersegurança gratuita e de código aberto. |
| Damn Vulnerable iOS App | Damn Vulnerable iOS App (DVIA) é um aplicativo iOS muito vulnerável. |
| Maldito aplicativo da Web vulnerável | O Damn Vulnerable Web Application (DVWA) é um aplicativo da Web PHP / MySQL muito vulnerável. Seus objetivos principais são ajudar os profissionais de segurança a testar suas habilidades e ferramentas em um ambiente jurídico. |
| EnigmaGroup | Recursos de Segurança Segura, ele treina nos exploits listados no projeto OWASP Top 10 e ensina os membros sobre os muitos outros tipos de exploits encontrados em aplicativos hoje. |
| Material de treinamento ENISA | A Agência da União Europeia para a Segurança das Redes e da Informação (ENISA) Formação em Segurança Cibernética. Você encontrará materiais de treinamento, manuais de professores, kits de ferramentas para alunos e imagens virtuais para oferecer suporte a sessões de treinamento prático. |
| Máquina Virtual Graciosamente Vulnerável | O VulnVM da Graceful é um aplicativo da web VM projetado para simular um site simples no estilo de comércio eletrônico que é vulnerável a uma série de problemas de segurança conhecidos comumente vistos em aplicativos da web. |
| Hack the Box | Hack The Box é uma plataforma online que permite que você teste suas habilidades em testes de penetração e troque ideias e metodologias com outros membros de interesses semelhantes. Para participar, você deve resolver um desafio de nível de entrada. |
| Hack.me | O Hack.me afirma ser a maior coleção de aplicativos da Web "executáveis" vulneráveis, exemplos de código e CMS on-line. A plataforma está disponível sem restrições para todos os interessados em segurança de aplicativos web. |
| Hackertest.net | HackerTest.net é sua própria simulação de hacker online com 20 níveis. |
| Hackxor | Hackxor é um jogo de hacking de aplicativos da web em que os jogadores devem localizar e explorar vulnerabilidades para progredir na história |
| Halls of Valhalla | Desafios que você pode resolver. Os usuários podem enviar código, bem como notícias e artigos sobre ciência, tecnologia e engenharia. |
| Hackers Hellbound | Aprenda uma abordagem prática para a segurança do computador. Aprenda como os hackers entram e como mantê-los fora. |
| HSCTF3 | HSCTF é um concurso internacional de hacking criado para educar alunos do ensino médio em ciência da computação. |
| Instituto InfoSec | Curso de treinamento CISSP grátis. |
| Centro ISC2 para segurança e educação cibernética | Site para capacitar alunos, professores e comunidades inteiras a proteger suas vidas online por meio de educação e conscientização sobre segurança cibernética com o programa educacional Safe and Secure Online. |
| Loja de sucos | OWASP Juice Shop é um aplicativo da web intencionalmente inseguro para treinamento de segurança escrito inteiramente em Javascript que cobre todo o OWASP Top Ten e outras falhas graves de segurança. |
| Sites McAfee HacMe | Procure o HacMe na página e você encontrará um conjunto de ferramentas de aprendizagem. |
| Metasploit Unleashed | Curso Gratuito de Hacking Ético. |
| Metasploitable 3 | Metasploitable3 é uma VM construída do zero com um grande número de vulnerabilidades de segurança. |
| Microcorrupção CTF | Desafio: Dado um depurador e um dispositivo, encontre uma entrada que o desbloqueie. Resolva o nível com essa entrada. |
| Mariposa | Moth é uma imagem VMware que contém um conjunto de aplicativos e scripts da Web vulneráveis. |
| Mutillidae | OWASP Mutillidae II é um aplicativo da web gratuito, de código aberto, deliberadamente vulnerável, que fornece um alvo para os entusiastas da segurança da web. |
| MysteryTwister C3 | O MysteryTwister C3 permite que você resolva desafios de criptografia, desde a simples criptografia Caesar até o AES moderno, eles têm desafios para todos. |
| National Institutes of Health (NIH) | Cursos de curta duração em Segurança da Informação e Conscientização sobre Privacidade. Eles também têm uma seção para executivos, gerentes e administradores de TI. |
| OpenSecurityTraining.info | OpenSecurityTraining.info se dedica a compartilhar material de treinamento para aulas de segurança informática, sobre qualquer matéria, que durem pelo menos um dia. |
| Pentesterlab | Este exercício explica como você pode, a partir de uma injeção de SQL, acessar o console de administração e, em seguida, no console de administração, como você pode executar comandos no sistema. |
| Pentestit.ru | Pentestit.ru tem laboratórios gratuitos que emulam infraestruturas de TI reais. Ele foi criado para praticar pentesting legal e aprimorar as habilidades de teste de penetração. O OpenVPN é necessário para se conectar aos laboratórios. |
| PicoCTF | picoCTF é um jogo de segurança de computador voltado para alunos do ensino fundamental e médio. O jogo consiste em uma série de desafios focados em uma história única na qual os participantes devem fazer engenharia reversa, quebrar, hackear, crack ou fazer o que for preciso para resolver o desafio. |
| Ringzero | Desafios que você pode resolver e ganhar pontos. |
| Risk3Sixty | Vídeo de treinamento de segurança da informação gratuito, um exame de segurança da informação e a chave de respostas do exame. |
| Root Me | Centenas de desafios e ambientes virtuais. Cada desafio pode ser associado a uma infinidade de soluções para você aprender. |
| SANS Cyber Aces | O SANS Cyber Aces Online disponibiliza gratuitamente online uma seleção de cursos do currículo de desenvolvimento profissional oferecido pelo The SANS Institute, líder mundial em treinamento de segurança cibernética. |
| SlaveHack 2 BETA | Slavehack 2 é uma sequela do Slavehack original. É também um jogo de simulação de hack virtual, mas você encontrará recursos muito mais próximos da realidade cibernética atual. |
| SocketToMe | SocketToMe é um pequeno aplicativo para teste de web sockets. |
| SQLzoo | Teste suas habilidades de Hacking com este sistema de teste. Leva você passo a passo pela façanha. |
| ThisIsLegal | Um site de jogo de guerra de hackers, mas também com muito mais. |
| W3Challs | W3Challs é uma plataforma de treinamento de teste de penetração, que oferece vários desafios de TI, em categorias relacionadas à segurança |
| WackoPicko | WackoPicko é um aplicativo da web vulnerável usado para testar scanners de vulnerabilidade de aplicativos da web. |
| Web Security Dojo | Web Security Dojo é um ambiente de treinamento autônomo e pré-configurado para Web Application Security. |
| WebGoat | WebGoat é um aplicativo da web deliberadamente inseguro mantido pela OWASP, projetado para ensinar lições de segurança de aplicativos da web. |
| Wechall | Focado em oferecer problemas relacionados à computação. Você encontrará criptografia, crack, esteganografia, programação, lógica e matemática / ciências. A dificuldade desses desafios também varia. |
| Jogo XSS | Neste programa de treinamento, você aprenderá como encontrar e explorar erros de XSS. |
| XVWA | XVWA é um aplicativo da web mal codificado, escrito em PHP / MySQL, que ajuda os entusiastas de segurança a aprender sobre segurança de aplicativos. |
3. ESSES SITES PROMOVEM HACKING ILEGAL?
Conforme você navega nesses sites, pode perceber que pessoas mal-intencionadas podem usar essas mesmas habilidades para o mal. Algumas das missões "realistas" levam você a invadir, por exemplo, um sistema de biblioteca ou um site de classificação de raid. É fácil presumir que esses sites estão treinando pessoas para serem agentes do mal.
A verdade é que, se esses sites não existissem, hackers nefastos ainda teriam seus recursos na dark web. Enquanto isso, os desenvolvedores de sites, as pessoas que mais precisam aprender técnicas de hacking, não teriam lugar legal para aprender e testar essas técnicas de hacking.
Os desenvolvedores cometeriam os mesmos erros repetidamente, enquanto os hackers tirariam proveito deles usando a dark web para espalhar recursos e tutoriais.
Dessa forma, ao tornar essas informações públicas, você está proporcionando aos desenvolvedores da web a prática necessária para proteger seus sites. Em um mundo ideal, todos os web designers aprenderão como proteger seus sites dessa forma, evitando que atores mal-intencionados usem esse conhecimento para o mal.
4. APRENDENDO A HACKEAR
Se você quer aprender como hackear, não há maneira melhor do que hackear a si mesmo. Felizmente, você não precisa acessar o site do seu cabeleireiro local; Experimente os sites de hackers legais mencionados acima.
Se você deseja aprimorar suas habilidades, por que não tentar uma aula online de hacking ético?
- Você é fã do Linux? Vamos ver como você é bom ... Teste seus conhecimentos de comandos do Linux com CMDChallenge
Gostou deste artigo? Siga este blog em sua fanpage do Facebook , Twitter , Instagram e / ou YouTube para não perder o melhor conteúdo de informática e hackers!
Comentários
Postar um comentário