用于漏洞扫描的服务器/网站

Question

我需要测试漏洞扫描器，如Nessus、Nmap等。我的老师告诉我，有一些已经准备好的网站(这些扫描器需要目标的IP地址来扫描)具有已知的漏洞，可以使用这些扫描器直接扫描，而无需在我的机器上安装本地设备。但我找不到合适的解决办法。你有什么建议吗？最好是我可以直接扫描的任何带有漏洞的IP地址。非常感谢各位。

Answer 1

嗯。我也想知道你的老师指的是什么。最终，托管一个已知的易受攻击的站点将使主机面临严重的妥协风险。请不要去扫描未经业主授权的随机网站。

为此，我强烈建议使用该死的易受攻击应用程序(DVWA)。最简单的方法是从上面链接的页面下载iso，并使用Virtualbox或VMware播放器作为虚拟机运行它。这将意味着安装软件。

如果你的老师能给你提供一些网站，我会有兴趣听到它！

最后，引用创建者的话：

警告！该死的易受攻击的Web应用程序是非常脆弱的！不要将其上传到宿主提供商的公用html文件夹或任何面向服务器的Internet，因为它们将被破坏。建议使用虚拟机(如VirtualBox或VMware)，将其设置为NAT网络模式。

Answer 2

有相当多的网站可用于此。有些是在线的，比如谷歌的Gruyere。

正如上文所提到的，有些是设计成在虚拟机中运行的，比如virtualbox或vmware，甚至是在Docker这样的容器中运行。bWapp &OWASP的自己的果汁店和网络山羊春天的想法。

如果这是一个可下载的web应用程序，最好确保您的VM网络与主机隔离，这样您就不会无意中给自己造成问题。

在任何情况下，这里列出了一些法律上可妥协的网站和应用程序来学习紫癜。

15个易受攻击的网站(合法地)练习你的黑客技能和40+故意攻击网站(合法)练习你的黑客技能

有些工具是旧的，但这不应该是一个问题，因为许多最具杠杆作用的漏洞已经存在了驴年。