TOP Sitios Web Vulnerables para Practicar Pentesting
TOP Sitios Web Vulnerables para Practicar Pentesting

TOP Sitios Web Vulnerables para Pruebas de Penetración (Pentesting)

La infame brecha en las habilidades de ciberseguridad va en aumento y, más que nunca, las empresas necesitan profesionales de la seguridad para proteger sus redes y sistemas. Así que, tanto si te estás iniciando en la ciberseguridad como si estás consolidado como experto, necesitas trabajar constantemente para practicar y afinar tus habilidades de hacking.

Hay muchas maneras de aprender hacking ético y pentesting, ya sea a través de tutoriales en línea, videos de YouTube, cursos, libros, podcasts, etc., pero todos sabemos que nada supera un enfoque práctico. Para los hackers éticos y los probadores de penetración puede ser difícil poner a prueba sus habilidades legalmente, por lo que tener sitios web que están diseñados para ser vulnerables y proporcionar un entorno seguro para poner a prueba las habilidades de hacking es una gran manera de seguir desafiándose a sí mismo.

Hemos hablado de las 5 mejores distros de Linux para hackers éticos y pentesters, y hoy exploramos una lista de los 10 mejores sitios web deliberadamente vulnerables para pruebas de penetración y formación en hacking ético. Aquí hay plataformas divertidas y orientadas al juego, con aplicaciones tanto web como móviles y más, para que puedas encontrar la que se adapte a tus habilidades:

1. bWAPP

Creada por Malik Messelem, bWAPP (abreviatura de “buggy web application”) es una aplicación gratuita y de código abierto que es, como su nombre indica, deliberadamente vulnerable. Es uno de los mejores -si no el mejor- sitios web de bugs disponibles para practicar y afinar tus habilidades de hacking. Tanto si eres un entusiasta de la seguridad, un aficionado, un estudiante, un desarrollador o incluso un profesional que sólo busca divertirse, este sitio web te ayudará a realizar hacking ético y pentesting en un entorno legal.

bWAPP para practicar Hacking
bWAPP para practicar Hacking

Lo que hace único a bWAPP es que ofrece más de 100 vulnerabilidades y bugs de aplicaciones web derivados del Proyecto Top 10 de OWASP. Algunas de las vulnerabilidades son

  • Cross-site scripting (XSS), cross-site tracing (XST) y cross-site request forgery (CSRF)
  • Ataques Man-in-the-middle
  • Falsificación de solicitudes del lado del servidor (SSRF)
  • Ataques DoS
  • Inyecciones SQL, HTML, iFrame, SSI, OS Command, PHP, XML, XPath, LDAP, Host Header y SMTP

Pero la cosa no acaba ahí. Además de los 100 bugs, se puede utilizar la llamada “bee-box”, una VM Linux preinstalada personalizada.

bWAPP está construido sobre PHP y utiliza una base de datos MySQL. Se puede alojar tanto en el sistema operativo Windows como en el Linux: en Windows se puede alojar en el servidor xampp y wamp; en Linux, en Apache, y también es ideal para usar en Kali Linux.

2. HackThisSite

Uno de nuestros favoritos, HackThisSite, o HTS, es un gran sitio web de hacking que fue fundado por Jeremy Hammond, pero que ha sido mantenido por la comunidad. Ofrece numerosos retos diferentes que contienen habilidades de hacking tanto para principiantes como para avanzados.

HackThisSite para retos de hacking
HackThisSite para retos de hacking

Los retos son divertidos y atractivos, con escenarios reales y diferentes personajes. Cada reto cuenta con un hilo de conversación en un foro en el que se puede discutir con otros miembros de la comunidad y ofrecer recursos para resolver el rompecabezas más rápidamente. ¡Incluso tienes la oportunidad de hackear un sistema de votación!

Algunos otros retos en HackThisSite son

  • Misiones realistas
  • Misiones de aplicación
  • Misiones de pirateo telefónico
  • Misiones forenses
  • Misiones de programación

Y no olvides sus CTFs. También animan a la gente a explotar este sitio literalmente, y recompensan a los que los revelan añadiéndolos a su salón de la fama. HTS es un lugar agradable con una comunidad vibrante y, sin importar tu nivel de habilidad, encontrarás una misión que te desafiará y entretendrá.

3. Hellbound Hackers

Hellbound Hackers es una plataforma de seguridad informática completa, ya que no sólo ofrece desafíos prácticos, artículos, foros y una amplia gama de tutoriales de hacking, sino que también tiene una de las mayores comunidades de hackers, con más de 100.000 miembros registrados.

Hellbound Hackers para Practicar Pentesting
Hellbound Hackers para Practicar Pentesting

En Hellbound Hackers, tendrás la oportunidad de participar en desafíos cronometrados en los que deberás encontrar una vulnerabilidad y una forma de parchearla. Aprender cómo los actores maliciosos irrumpen en los sistemas también te enseñará a defenderte de ellos. Es ideal para los principiantes, ya que ofrece algunos desafíos más sencillos, pero también lo pueden disfrutar los profesionales.

Nota

Antes de sumergirte en Hellbound Hackers, debes estar familiarizado con HTML, JS y PHP.

Los diferentes retos de Hellbound Hackers incluyen

  • Hacking de aplicaciones
  • Hacking básico de la web
  • Hackeo de Javascript
  • Desafíos de rooting
  • Desafíos de pruebas de penetración

4. OWASP Mutillidae II

Otro proyecto OWASP a tener en cuenta aquí es el OWASP Mutillidae II, más conocido simplemente como Mutillidae. Escrito en PHP, se trata de una aplicación web vulnerable de código abierto que puede ser utilizada en Linux y Windows utilizando servidores lamp, wamp y xampp. También viene preinstalada en Rapid7 Metasploitable 2, Samurai WTF y OWASP BWA. Para facilitar la instalación, ofrecen tutoriales para cada paso.

Dark Mode

mutillidae (este enlace se abre en una nueva ventana) por webpwnized (este enlace se abre en una nueva ventana)

OWASP Mutillidae II is a free, open source, deliberately vulnerable web-application providing a target for web-security enthusiast. Mutillidae can be installed on Linux and Windows using LAMP, WAMP, and XAMMP. It is pre-installed on SamuraiWTF and OWASP BWA. The existing version can be updated on these platforms. With dozens of vulnerabilities and hints to help the user; this is an easy-to-use web hacking environment designed for labs, security enthusiast, classrooms, CTF, and vulnerability assessment tool targets. Mutillidae has been used in graduate security courses, corporate web sec training courses, and as an “assess the assessor” target for vulnerability assessment software.

Presenta más de 40 vulnerabilidades y contiene un gran número de las 10 principales vulnerabilidades de OWASP. Mutillidae es un entorno seguro y legal donde los entusiastas de la seguridad, los profesionales, los estudiantes y los CTF pueden practicar el hacking web.

5. Defend the Web

Defend the Web, originalmente conocida como HackThis!!, es una plataforma interactiva de ciberseguridad diseñada para ofrecer retos para todos los niveles de habilidad. Cuenta con más de 60 niveles de hacking y artículos que cubren todas las áreas de la seguridad, incluidas las específicas del nivel.

Defend the Web para Aprender Hacking
Defend the Web para Aprender Hacking

Hay diferentes categorías, como algunas que presentan escenarios ficticios del “mundo real” que te hacen trabajar como un profesional de la seguridad que se enfrenta al reto de asegurar el sitio web contra los hackers. Incluso celebra competiciones CTF de vez en cuando y cuenta con una animada comunidad de más de 600 mil miembros en la que se pueden intercambiar conocimientos y debatir sobre noticias y artículos de seguridad.

6. Root Me

Root Me, una plataforma de formación en seguridad en varios idiomas (sí, ¡incluido el Español!), es un lugar ideal para poner a prueba y avanzar en tus habilidades como hacker. Cuenta con más de 300 desafíos que se actualizan regularmente y más de 50 entornos virtuales, todo ello para proporcionar un entorno realista. Root Me también cuenta con una apasionada comunidad de más de 200.0000 miembros, a los que se anima a participar en el desarrollo del proyecto y a obtener reconocimientos.

Desafíos Pentesting con Root Me
Desafíos Pentesting con Root Me

Entre los diferentes temas que se tratan en Root Me se encuentran

  • Investigación digital
  • Automatización
  • Romper la encriptación
  • Descifrar
  • Desafíos de la red
  • Inyección SQL

Es una plataforma sólida y una gran manera de practicar tus habilidades de hacking, aunque no es tan fácil de usar como otras entradas en esta lista.

7. WebGoat

Otra entrada de OWASP en esta lista, y una de las más queridas. WebGoat es una aplicación altamente insegura que proporciona un entorno de aprendizaje para los defectos comunes de las aplicaciones del lado del servidor. Está diseñada para ayudar a la gente a aprender sobre la seguridad de las aplicaciones y a practicar sus habilidades de pen-testing.

Cada lección te da la oportunidad de aprender sobre un determinado problema de seguridad y explotarlo en la aplicación. WebGoat está disponible para Windows, Mac OS X y Linux y se puede descargar para el entorno J2EE y .NET.

Algunas de las vulnerabilidades y ataques explorados en WebGoat son:

  • Envenenamiento de la caché
  • Inyección SQL
  • Ataques de troyanos
  • Spyware
  • Codificación Unicode

8. Damn Vulnerable Web Application (DVWA)

No se debe confundir con DVIA, la Damn Vulnerable Web Application (DVWA) es una gran herramienta para los desarrolladores web y los profesionales de la seguridad por igual. Básicamente, es una aplicación web MySQL/PHP que está diseñada para ser súper vulnerable a las inyecciones SQL y otros ataques comunes.

En DVWA, tienes la opción de alternar entre los niveles de seguridad bajo, medio, alto e “imposible” para cada tipo de vulnerabilidad que ofrecen. Esto te da la oportunidad de practicar la explotación o la defensa contra las vulnerabilidades que pueden existir en diferentes entornos. También te permite desafiarte más a ti mismo y profundizar en las áreas en las que necesitas centrarte más.

Recomendación

Es mejor instalarla en una máquina virtual en la que se puedan activar instancias individuales según sea necesario.

¿Quieres ver uno de estos retos en acción? Aquí hay un vídeo de alguien que realiza inyecciones SQL en un entorno de baja seguridad utilizando DVW

9. HackTheBox

Esta plataforma en línea con sede en el Reino Unido, que tiene cuatro años de existencia, es el sueño de un “pen tester”. Con más de 350.000 miembros de todo el mundo, HackTheBox es un lugar para nuevos hackers, estudiantes, profesionales de la ciberseguridad y jugadores por igual. Además de poder jugar en la plataforma y poner a prueba tus habilidades, también puedes participar en sus 127 desafíos y utilizar en directo cualquiera de sus 179 máquinas en vivo (en el momento de escribir este artículo). También han organizado eventos CTF.

HackTheBox con Desafíos de Hacking
HackTheBox con Desafíos de Hacking

Pero si buscas algo más privado, también hay laboratorios dedicados que puedes alquilar si formas parte de una universidad, empresa u otro tipo de organización o institución. No hace falta decir que tienes opciones con HackTheBox.

10. PentesterLab

PentesterLab es una forma fácil y conveniente de aprender a pentesting . El sitio proporciona sistemas vulnerables que se pueden utilizar para probar y estudiar vulnerabilidades. En la práctica, puedes trabajar con vulnerabilidades reales tanto en línea como fuera de línea. Sin embargo, el acceso en línea solo está abierto para aquellos que tienen una suscripción a PentesterLab Pro, que cuesta $ 19,99 por mes o $ 199,99 por año.

PentesterLab para Ejercicios Vulnerabilidades
PentesterLab para Ejercicios Vulnerabilidades

Tanto si eres un desarrollador, un profesional de la seguridad, un estudiante o un entusiasta, los sitios web vulnerables diseñados para ser hackeados son una gran manera de aprender mientras pones a prueba tus conocimientos y habilidades. Con tantas opciones que existen, la mayoría de ellas gratuitas, estamos seguros de que encontrarás algo que, como mínimo, te proporcionará una experiencia divertida y amena.

Más artículos
Adamantium-Thief Ver password historial Navegadores
Adamantium-Thief: Ver contraseñas, historial, etc. de Navegadores