Так как я задался целью систематизировать, каталогизировать и собрать самый полный список площадок по пентесту я решил сделать это здесь, дабы не наслаждаться своей работой единолично.

Данный список - это самый полный список площадок по самоподготовке к пентесту на сегодняшний день. Здесь собраны проекты как новые так и уже, пожалуй, раритетные. Итак, поехали:

Площадки:

Hack The Box

ТОП списка

Одна из самый масштабных платформ, где на текущий момент доступно 127 уязвимых машин, 65 CTF-задач и несколько видов хардкорных виртуальных лесов AD. То есть, как ты уже понял, здесь есть все описанные выше области.

Hack The Box За несколько прошлых лет Hack The Box стал максимально популярен среди исследователей безопасности всех мастей: он отличается удобным веб-интерфейсом для управления активными инстансами виртуалок, отзывчивой техподдержкой и, что важнее всего, постоянно обновляющимся списком уязвимых хостов.

Web-Security Academy

Лабораторные от создателей Burp Suite. ТОП в подготовке к Bug Bounty

OWASP Juice Shop

OWASP Juice Shop — это веб-приложение с уязвимостями, созданное для целей обучения безопасности, написанное на JavaScript. Оно буквально набито проблемами разных уровней сложности, предназначенными для их эксплуатации пользователем. Это фантастическая вещь, с которой однозначно нужно начинать изучение безопасности веб-приложений.

Установка на своем хосте

Pentesterlab

PentesterLab-это платформа, которая предоставляет как онлайн, так и оффлайн лаборатории, предназначенные для обучения искусству пентестинга веб-приложений и веб-безопасности. Сайт предлагает ряд бесплатных упражнений и подписной пакет PRO, который дает доступ к более чем 200 частным упражнениям. Нереально крутая вещь.

Root-Me

Веб-сайт, который улучшает твои хакерские навыки и знания в области кибербезопасности с помощью более 200 хакерских проблем и 50 виртуальных сред. Задания сложные, но интересные

VulnHub

Огромная библиотека уязвимых виртуальных машин VM на любой вкус

Tryhackme

Относительно новая платформа для обучения и преподавания кибербезопасности. Она отличается от большинства других платформ тем, что в то время как другие платформы фокусируются в основном на самообучении, создавая контент для своих пользователей, TryHackMe использует ряд различных методов, чтобы попытаться облегчить людям изучение различных, а иногда и глубоко сложных слоев в мире кибербезопасности.

Punkration

Российская площадка специализирующаяся на веб-пентесте. Обещают достаточно много интересного контента. Есть бесплатный контент.

Hacker 101

Hacker101-это бесплатный образовательный сайт для хакеров, управляемый компанией HackerOne - одной из ведущих топовых BugBounty площадок. Поэтому - обязательно для ознакомления.

Лаборатории PentestIt

Очень популярные в России и всем известные лаборатории от Pentestit. Благодаря лабораториям Pentestit можно всегда быть в курсе последних уязвимостей и попробовать себя в качестве настоящего пентестера.

PentesterAcademy

У ребят какой-то космос лабораторных. Их много кто рекомендует и уроки их мне очень нравятся. Не смотря на то что платные - настоятельно рекомендую. Просят 249$ в год но бывают скидосы. В общем ТОП.

Atack&Defense

2176 лабораторных! Огромное количество разделов, просто клад для любителей лабораторных. Жирный плюс и в копилку

CTF Antichat

Antichat — один из самых первых форумов СНГ по взлому и безопасности — запустил свою тренировочную CTF-базу с отсутствием временных ограничений.

ctf.antichat.com — это площадка (или платформа, кому как удобней) для прохождения заданий. В тасках упор старались делать на эксплуатации уязвимостей, без убирания флага в самые отдаленные уголки системы.

Avatao

600+ задач и учебных пособий, 10+ языков и действительно всеобъемлющая база данных уязвимостей

Capture The Flag At UCF

Очень классный ресурс с огромным количеством тасков в различных областях.

Exploit Education

Добро пожаловать в Exploit Education. Exploit Education предоставляет множество ресурсов, которые можно использовать для изучения анализа уязвимостей, разработки эксплойтов, отладки программного обеспечения, бинарного анализа и общих вопросов кибербезопасности

CSAW 365

Интересные многообразные таски по различным направлениям, сообщество активно функционирует и на сегодняшний день.

Practical Pentest Labs

Интересные современные лаборатории по web-пентесту и эксплуатации Windows. Но к сожалению платные 43$ в месяц. Есть небольшой триал и бесплатные лаборатории

Hack Me

Hack.me представляет собой большую коллекцию уязвимых веб-приложений для применения навыков взлома на практике. Все приложения предоставляются сообществом и каждое из них можно запустить «на лету» в безопасной, изолированной песочнице

XSS Game

Игра от Google по поиску XSS-уязвимостей

Hackerdom

Платформа от создателей RuCtf. Куча интересных и занимательных тасков

Forkbomb

Куча классных бесплатных тасков от Питерских ребят на различные направления с учебным материалом. Настоятельно рекомендую

FreeHackQuest

Платформа от томской команды KeVa

Hacking-Lab

Онлайн платформа для изучения сетевой безопасности и повышения навыков этичного хакинга. Содержит задания, приближенные к CTF: форензика, криптография, реверс-инжиниринг. Необходимо скачать образ виртуальной машины и с помошью него подключаться по VPN к лаборатории. Решения, похоже, проверяются вручную.

Enigma Group

Enigma Group содержит более 300 задач с акцентом на топ-10 эксплойтов OWASP. Сайт имеет почти 48000 активных участников и проводит еженедельные CTF-соревнования, а также еженедельные и ежемесячные конкурсы.

CTFlearn

CTFlearn-это платформа, которая позволяет десяткам тысяч людей учиться, практиковаться и соревноваться. Они размещают постоянно меняющийся набор пользовательских и проверенных сообществом задач по широкому спектру тем

CTF Komodo

Захват флага – Разработан компанией Komodo Consulting. Это игра, предназначенная для того, чтобы бросить вызов вашим навыкам взлома приложений. Есть несколько проблем, которые стоят перед вами. Каждая задача содержит раздел кода, который имеет уязвимые слабые места. Ваша миссия, если вы решите принять ее, состоит в том, чтобы определить уязвимость, которая существует в каждом вызове

RINGZER0 TEAM ONLINE

RingZer0 Team Online CTF предлагает более 200 задач, которые позволят вам проверить навыки взлома по нескольким направлениям — от криптографии, анализа вредоносных программ до SQL-инъекции, шеллкодинга и многого другого. После того, как вы нашли решение задачи, вы можете отправить его RingZer0 Team. Если ваше решение будет принято, вы получите RingZer0Gold, которое можно обменять на подсказки во время решения задач.

WeChall

На сайте собрано 61 активных сайтов с CTF задачами (включая HackTheBox, Root-me и др.).Для каждого сайта указана сложность заданий и каждый из них можно подключить к аккаунту WeChall для объединения счета.

Hack This Site

Hack This Site — бесплатный сайт c варгеймами для проверки и улучшения ваших навыков хакинга. Нам нём можно найти множество хакерских задач в нескольких категориях, включая базовые задачи, реалистичные задачи, приложения, программирование, фрикинг, JavaScript, форензику, стеганографию и т.д. Также сайт может похвастаться активным сообществом с большим каталогом хакерских статей и форумом для обсуждения вопросов, связанных с безопасностью.

W3CHALLS

W3Challs — это обучающая платформа с множеством задач в различных категориях, включая хакинг, варгеймы, форензику, криптографию, стеганографию и программирование. Цель платформы — предоставить реалистичные задачи. В зависимости от сложности решённой задачи вы получаете баллы.

GAME OF HACKS

Game of Hacks показывает вам набор фрагментов кода в виде викторины с несколькими вариантами выбора, а вы должны определить правильную уязвимость в коде. Этот сайт немного выделяется из этого списка, но тем не менее это хорошая игра для выявления уязвимостей в коде.

WebGoat Project

Название проекта авторы связывают с синдромом обморочных коз: в чрезвычайных ситуациях коза впадает в полный ступор и падает на спину или набок с вытянутыми ногами. Это присуще породе коз со странным генетическим заболеванием. Также и уязвимый код в приложениях может положить его набок в обморочном состоянии. Основной упор сделан именно на образовательную сторону вопроса, а не создание уязвимой платформы для опытов. WebGoat — кроссплатформенный инструмент, его можно запустить в любой ОС, в которой будут работать Apache Tomcat и Java SDK.

SQLI LABS

Платформа для тестирования навыков работы с sql-injections. 65 заданий, от простых до сложных (обход WAF, mysqlrealescape_string). Приложение дается в виде PHP/MySQL инстанса для самостоятельного развертывания.

PicoCTF

Очень интересный ресурс с достаточно большим количеством тасков и направлений.

Defend the Web

Defend the Web-это интерактивная платформа безопасности, где вы можете учиться и бросать вызов своим навыкам. Попробуйте пройти все 60+ уровней взлома. Узнайте больше из серии статей, охватывающих все аспекты безопасности. Статьи проведут вас по основам, чтобы начать работу. По мере вашего продвижения будут вводиться все более сложные темы для наращивания ваших знаний.

OVERTHEWIRE

OverTheWire подойдёт всем желающим изучить теорию информационной безопасности и применить её на практике независимо от своего опыта. Новичкам следует начать с задач уровня Bandit, поскольку они необходимы для дальнейшего решения других задач.

PWNABLE.TW

Pwnable.tw-это сайт wargame для хакеров, чтобы проверить и расширить свои навыки использования двоичных файлов. Попробуйте выяснить, какие уязвимости существуют в вызовах, используйте удаленные службы, чтобы получить флаги. …

Command Challenge

Отлична игра на прокачку ваших Bash навыков

IO

Это варгейм от создателей netgarage.org, сообщества, в котором единомышленники делятся знаниями о безопасности, искусственном интеллекте, VR и многом другом. Было создано 3 версии варгейма: IO, IO64 и IOarm, из них всех IO является наиболее зрелой. Подключайтесь к IO через SSH и можете приниматься за работу.

Google Gruyere

Написанный на Python, Gruyere предлагает возможности как для тестирования черного ящика, так и для тестирования белого ящика, так что "хакеры" имеют возможность играть по обе стороны баррикад.

CTFTIME

Хотя CTFtime не является хакерским сайтом, как другие в этом списке, это отличный ресурс, чтобы оставаться в курсе CTF-соревнований, происходящих по всему миру. Поэтому, если вы заинтересованы в присоединении к CTF-команде или участии в соревновании, вам стоит сюда заглянуть.

Уязвимые машины:

Mutillidae

Бесплатная opensource-платформа для тестирования безопасности веб-приложений. Проверена большинством популярных утилит — sqlmap, burp suite и т.д. Наряду с bWAPP — одна из самых известных платформ. Приложение дается в виде PHP/MySQL инстанса для самостоятельного развертывания.

Damn Vulnerable Web Application

По словам разработчиков — это веб-приложение чертовски уязвимо. Специалистам по безопасности оно поможет проверить свои навыки в легальной среде, а веб-разработчикам лучше понять процессы защиты своих приложений. Приложение дается в виде PHP/MySQL инстанса для самостоятельного развертывания.

bWAPP

Специализированное веб-приложение с открытым исходным кодом. Содержит порядка 100 уязвимостей, классифицированных по методологии OWASP. Одна из самых лучших сборок, must have. Содержится в специализированной виртуальной машине — bee-box.

Metasploitable 2

Metasploitable 2 — нечто вроде боксёрской груши для работы «пентестеров» и использования программ вроде Metasploit и Nmap. В ней открыты все порты и присутствуют все известные уязвимости, некоторые из которых вы можете встретить в реальной жизни на настоящих системах

Metasploitable 3

Metasploitable3 является бесплатной виртуальной машиной, которая позволяет симулировать атаки в значительной степени используя Metasploit. Она применялась людьми, работающими в сфере безопасности, по многим причинам: таким как обучение правильной эксплуатации сети, разработка эксплойтов, тестирование программного обеспечения, проведение технических собеседований, демонстрации продаж или просто используется фанатами CTF ради собственной забавы.

ИГРЫ:

ThreatGEN: Red vs. Blue

Отличная игра чтобы погрузиться в мир Red и Blue TEAM освоить базовые понятия, увидеть как проходит атака. В общем - весело:)

HACKNET

Hacknet — увлекательный хакерский симулятор с интерфейсом компьютерного терминала. Следуйте указаниям покойного хакера, чья смерть, вопреки репортажам в СМИ, была вовсе не случайной.

БОНУС

Список от Индийцев

Ну а кому и этого мало - предлагаю самостоятельно рассмотреть лабораторные которые вежливо предоставили коллеги из Индии:)

По мере моего дальнейшего погружения и изучения данный гайд будет пополняться и интересные проекты будут добавляться.