Aplicaciones Web Vulnerables

Respuesta rápida: Las aplicaciones web Vulnerables son entornos diseñados deliberadamente con fallos de seguridad para permitir la práctica legal del hacking ético. Este artículo recopila el listado histórico más completo, desde los clásicos como DVWA hasta las nuevas plataformas modernas basadas en APIs y Microservicios.

La práctica hace al maestro, pero en el campo de la seguridad informática, si practicamos en aplicaciones o servidores de terceros, podemos llegar a tener problemas serios con la ley. Por este motivo, la comunidad ha desarrollado laboratorios seguros. A continuación, presentamos una recopilación exhaustiva que combina la historia del Pentesting con las herramientas de vanguardia.

Proyectos Modernos (APIs, Cloud y SPA)

El hacking ha evolucionado. Las aplicaciones de hoy no son las mismas de hace 10 años. Para complementar los clásicos, hemos añadido estos proyectos esenciales para el pentester moderno:

• OWASP Juice Shop:
  Es la aplicación vulnerable más avanzada actualmente. Simula una tienda online moderna (Single Page Application) escrita en Node.js, Express y Angular. Ideal para practicar inyecciones NoSQL, XSS en el DOM y fallos de lógica de negocio.
• VAmPI (Vulnerable API):
  Con el auge de las APIs, VAmPI es crucial. Es una API vulnerable escrita en Python/Flask que implementa el owasp top 10 para APIs.
• CloudGoat:
  Un entorno «Vulnerable by Design» para AWS (Amazon Web Services). Vital para aprender a auditar la nube.
• DVNA (Damn Vulnerable NodeJS Application):
  La evolución espiritual de DVWA pero enfocada en el ecosistema Node.js.

---

️ Los Clásicos Fundamentales

Estas herramientas son la base sobre la que aprendieron miles de profesionales. Aunque tienen años en el mercado, sus lecciones sobre SQL Injection clásica y gestión de sesiones siguen siendo la mejor escuela.

• Damn Vulnerable Web App (DVWA):
  Una aplicación web vulnerable en PHP/MySQL que permite poner a prueba nuestros conocimientos ajustando el nivel de dificultad. Es el estándar para empezar.
• WebGoat:
  Mantenida por OWASP, es una aplicación J2EE diseñada para enseñar lecciones de seguridad. Puedes aprender más sobre esta herramienta en nuestro laboratorio.
• Moth:
  Una imagen de VMware que contiene un conjunto de aplicaciones Web y scripts vulnerables. Ideal para probar scanners de seguridad y herramientas de análisis estático (SCA). Puedes encontrar más información en nuestra comunidad.
• BadStore:
  Simula una tienda virtual que incluye de manera intencionada diferentes fallos para practicar ataques de comercio electrónico.
• WebMaven:
  Un entorno interactivo que emula varios de los fallos más comunes en aplicaciones web antiguas.
• SecuriBench:
  Aplicación escrita en Java por la Universidad de Stanford. Excelente para investigar vulnerabilidades de inyección complejas.
• Mutillidae:
  Conjunto de scripts en PHP que se diferencia por la simplicidad de su código, enfocado en quienes apenas empiezan a desarrollar o auditar.

La Serie «Hacme» de Foundstone

Un conjunto temático clásico que simula industrias reales:

• Hacme Casino:
  (del cual hablamos en la ezine 2 de nuestra comunidad).
• Hacme Shipping: Una aplicación de logística vulnerable.
• Hacme Travel: Sistema de reservas de viajes.
• Hacme Bank:
  Simulación de banca en línea para practicar ataques financieros.

Aplicaciones Web Vulnerables Offline (Instalables)

Listado de aplicaciones para instalar en tu propio sistema (Linux, Windows, Mac) usando Apache, Tomcat o IIS. Perfectas para auditoría sin conexión a internet.

• The BodgeIt Store (Java):
  Proyecto en Google Code Archive
• The ButterFly Security Project (PHP):
  Descargar en SourceForge
• OWASP Hackademic Challenges Project (PHP):
  Proyecto Oficial
• Google Gruyere (Python):
  Web Oficial. Conocida como «cheesy» (llena de agujeros).
• OWASP .NET Goat (C#):
  Para los amantes del ecosistema Microsoft. Proyecto OWASP.
• Peruggia (PHP):
  Galería de imágenes vulnerable. Sitio Oficial.
• WackoPicko (PHP):
  Repositorio GitHub. Famosa por tener fallos lógicos difíciles de detectar por escáneres automáticos.
• OWASP ZAP WAVE (Java):
  Diseñada específicamente para probar el escáner ZAP. Descargar.

Máquinas Virtuales Completas (VMware / ISO)

Si prefieres no configurar servidores web, estas máquinas virtuales vienen listas para ser atacadas:

• OWASP BWA (Broken Web Applications Project):
  Una recopilación masiva de apps vulnerables en una sola VM. Descargar.
• Metasploitable (2 y 3):
  El entorno de entrenamiento oficial de Metasploit. Documentación y Descarga.
• Samurai WTF (Web Testing Framework):
  Un entorno Live CD enfocado en pentesting web. GitHub.
• LAMPSecurity:
  Una serie de imágenes para practicar sobre configuraciones LAMP. SourceForge.
• Web Security Dojo:
  Entorno de capacitación preconfigurado. Descargar.

Aplicaciones Web Vulnerables Online

¿No quieres instalar nada? Estos sitios están alojados en internet y permiten realizar pruebas de aprendizaje sin cometer delitos. Nota: Úsalos con responsabilidad.

• ACUNETIX (Laboratorios de prueba):
  • http://testasp.vulnweb.com (Foro en ASP)
  • http://testaspnet.vulnweb.com (Blog en .NET)
  • http://testphp.vulnweb.com (Tienda de arte en PHP)
• Google Gruyere (Online):
  https://google-gruyere.appspot.com/start
• HackThisSite (HTS):
  Un clásico con misiones básicas y realistas. https://www.hackthissite.org
• IBM/Watchfire AltoroMutual:
  Simulación bancaria. https://demo.testfire.net (Credenciales: jsmith/Demo1234)
• Zero Bank (HP/SpiDynamics):
  http://zero.webappsecurity.com (admin/admin)