Este repo pretende recopilar diferentes aplicaciones deliberadamente vulnerables, más o menos actuales, para que puedas utilizarlas con fines educativos en tu camino al hacking ético. Todas ellas se ejecutan como parte de un entorno dockerizado, utilizando Dev Containers, por lo que no es necesario instalar nada en tu local.
OWASP Juice Shop se trata de un sitio desarrollado con Angular para el front end, Express JS para la API y SQLite para la base de datos. Puedes encontrar su guia de uso aquí. Una vez arranques el dev container, la tienes disponible en http://localhost:3000/.
OWASP WebGoat es una aplicación desarrollada en Java que como parte de la misma se incluye la guia. Esta está disponible a través de http://localhost:3001/WebGoat.
OWASP PyGoat, desarrollada en Python (Django), la tienes disponible en http://localhost:3002/. Tienes todas las soluciones de los retos como parte de su repositorio.
Se trata de una API desarrollada en Python que implementa diferentes vulnerabilidades. Puedes acceder a ella a través de [http://localhost:3003/] y este es el repositorio de la misma: VAmPI. Aquí puedes encontrar su guía de uso.
Desarrollada en JavaScript, AngularJS, React la cual se aloja en https://ginandjuice.shop/ y te anima a que pruebes tus herramientas de seguridad en ella.
Desarrollada por Google, la misma se encuentra disponible en https://google-gruyere.appspot.com/ y te anima a que pruebes tus herramientas de seguridad en ella.
OWASP ZAP es una herramienta de seguridad open source que se puede utilizar para encontrar automáticamente vulnerabilidades en las aplicaciones web. Puedes encontrar su guia de uso aquí.
Burp Suite se trata de otra herramienta que nos permite el escaneo de aplicaciones en busca de vulnerabilidades. Tiene una versión que es community edition. Puedes ver cómo empezar con ella aquí.