Lista di sfide, laboratori e CTF di Sicurezza Informatica

Dopo aver letto, studiato, sperimentato, non c’è nulla di più utile che iniziare a testare le proprie competenze e sbattere la testa in sfide pratiche. In questa pagina terrò le sfide che ritengo più utili per imparare e consolidare le proprie conoscenze.

L’ordine non è causale, nelle prime posizioni di ogni tabella sono presenti quelle che ho testato più volte e che reputo migliori, mentre verso il fondo sono altre sfide che ho trovato in rete e ho pensato potessero essere in qualche modo utili.

Laboratori Online

Di seguito alcuni dei più famosi laboratori online per imparare, molti purtroppo richiedono abbonamenti a pagamenti, per cui se preferite guardate pure le macchine virtuali offline e/o gli wargame che consiglio maggiormente rispetto ai seguenti

  1. Web Security Academy

  2. Hack The Box :: Penetration Testing Labs

  3. TryHackMe

  4. PentesterLab: Learn Web Penetration Testing

  5. PentesterAcademy

Macchine virtuali offline

In questa tabella sono presenti diverse macchine virtuali; per l’installazione serve, ad esempio, VirtualBox. Nel caso foste completamente a digiuno, un semplice esempio può essere trovato a questa pagina.

Nome - Argomenti - Descrizione

  1. Exploit Exercises - Sistemi operativi, Linux, Reverse Engineering, Debugging - Diverse macchine virtuali, ognuna con vari livelli

  2. Vulnhub - Qualsiasi - Decine di macchine virtuali vulnerabili

  3. Mutillidae - Applicazione Web - Applicazione web vulnerabile contenente le 10 vulnerabilità OWASP

  4. DamnVulnerableLinux - Binary Auditing, Reverse Engineering - Analisi di file e Malware

  5. OWASP Webgoat - Applicazione Web - Applicazione web vulnerabile con più di 30 lezioni

  6. PentesterLab - Applicazioni Web - Diverse macchine virtuali ed esercizi (alcuni a pagamento)

  7. Malware Traffic - File .pcap - Diversi esercizi di analisi del traffico internet

  8. Metasploitable 1 - Sistemi operativi, Linux, Privilege Escalation - Macchina virtuale Linux insicura

  9. Metasploitable 3 - Sistemi operativi, Linux, Privilege Escalation - Macchina virtuale Linux insicura

  10. Android Labs - Android - Applicazione android vulnerabile

  11. OWASP Hackademic - Applicazione Web - Applicazione web vulnerabile

  12. OWASP Bricks - Applicazione Web - Applicazione web vulnerabile

  13. DWVA - Applicazione Web - Applicazione web vulnerabile

  14. Moth - Applicazione Web - Applicazione web vulnerabile

  15. Hackxor - Applicazione Web - Applicazione web vulnerabile

  16. Bwapp - Applicazione Web - Applicazione web vulnerabile

  17. Peruggia - Applicazione Web - Applicazione web vulnerabile

  18. WebMaven - Applicazione Web - Applicazione web vulnerabile

  19. Null Gameover - Applicazione Web - Applicazione web vulnerabile

  20. Hackazon - Applicazione Web - Applicazione web vulnerabile

  21. The Hacker Games - Applicazione Web - Applicazione web vulnerabile

  22. PwnOS - Sistemi operativi, Linux, Privilege Escalation - Macchina virtuale Linux insicura

  23. Goatse Linux - Sistemi operativi, Linux, Privilege Escalation - Macchina virtuale Linux insicura

  24. LAMP Security - Applicazione Web, LAMP - Applicazione web vulnerabile

Applicazioni web vulnerabili direttamente online:

  1. http://demo.testfire.net/
  2. http://crackme.cenzic.com/kelev/view/home.php
  3. http://zero.webappsecurity.com/

Wargame e CTF

Gli wargame sono delle sfide di sicurezza informatica e logica, solitamente divisi in livelli con difficoltà crescente. Un esempio può essere trovato qui.

Nel caso sia presente come argomento “Qualsiasi” è da intendersi come: Sistemi Operativi, Linux, Debugging, Reverse Engineering, Exploitation, Crittografia, Matematica, Programmazione.

Nome - Argomenti - Registrazione

  1. W3Challs - Qualsiasi - SI

  2. OverTheWire - Qualsiasi - NO

  3. SmashTheStack - Qualsiasi - NO

  4. HaxTor - Applicazioni Web - NO

  5. IONetGarage - Qualsiasi - NO

  6. RingZer0 - Qualsiasi, Analisi di Malware - SI

  7. Pwnable - Qualsiasi - SI

  8. Reversing - Cracking e Reverse Engineering - SI

  9. HackThisSite - Qualsiasi - SI

  10. Backdoor - Qualsiasi - SI

  11. HackTest - Applicazioni Web - NO

  12. XSS Game - Attacchi XSS - NO

  13. Gruyere - Applicazioni Web - NO

  14. Pwnable - Programmazione, Debugging - SI

  15. CTFLearn - Qualsiasi - SI

  16. Pentestit.ru - Qualsiasi - SI

  17. Root-Me - Qualsiasi - SI

  18. CanYouHackIt - Qualsiasi - SI

  19. id0-rsa - Crittografia - NO

  20. EnigmaGroup - Qualsiasi - SI

  21. TheHackerProject - Qualsiasi - SI

  22. Bright-Shadow - Qualsiasi, con approfondimenti di Steganografia - NO

  23. Try2Hack - Applicazioni Web - NO

  24. PwnerRank - Qualsiasi - SI

  25. GameofHacks - Qualsiasi - SI

  26. SEED Project - Qualsiasi - NO

  27. RingZer0 - Qualsiasi - SI

  28. ModX - Qualsiasi - SI

  29. Shellter Labs - Qualsiasi - SI

  30. WeChall - Qualsiasi - SI

  31. Hack.me - Qualsiasi - SI

  32. Net-Force - Qualsiasi - SI

  33. MicroCorruption - Qualsiasi - SI

  34. HackerForever - Qualsiasi - SI

Chiaramente non è possibile iniziarle tutte, sono talmente tante da non bastare per una vita intera. Per chi è agli inizi consiglio di iniziare dai più didattici, con un’ottima curva d’apprendimento. Ad esempio:

  • W3challs;
  • OverTheWire;
  • Exploit Excercise;
  • Pwnable;
  • Backdoor;
  • SEED Labs;
  • Vulnhub;
  • Enigma Group.

La lista che ho stilato proviene da una serie di bookmarks che ho accumulato nel corso degli anni. Altre liste ancor più corpose di questa possono essere trovate in: