แหล่งเรียนรู้ Security เป็นเรื่องที่หาได้ยากในประเทศไทย ทั้งแหล่งเนื้อหาการเรียนรู้(แต่เว็บไซด์นี้มีสอนนะ อิอิ แอบขายของ)และการหา lab เพื่อทดสอบด้วยเช่นกัน ทีนี้ก็เลย list เอา web application ที่ถูกสร้างให้มีช่องโหว่เพื่อให้ทดสอบและเรียนรู้เกี่ยวกับช่องโหว่ทางด้าน Web Application ครับ

1. OWASP WebGoat
WebGoat เป็น web application ที่ให้มีช่องโหว่โดยองค์กร OWASP เพื่อสอน เพราะในนั้นจะมีทั้งคำอธิบายและคำแนะนำในการแก้ไขช่องโหว่ดังกล่าว

2. DVWA
Damn Vulnerable Web Application (DVWA) ถูกสร้างเพื่อเรียนรู้ช่องโหว่ของ PHP โดยจะมีการแบ่งระดับความยากของช่องโหว่เป็นหลายระดับ

3. SQLi-Labs
เป็น web application ที่ถูกสร้างมาเพื่อให้เรียนรู้และทดสอบเจาะช่องโหว่ SQL-Injection โดยมีทั้ง

4. vulnerable-node
อันนี้เป็น project ที่มาไม่นานนี้ เป็นการสร้าง Application NodeJS ที่มีช่องโหว่ตาม OWASP Top 10

5. XVWA
Xtremely Vulnerable Web Application(XVWA) เป็น application อีกตัวที่พัฒนาด้วย PHP แต่มีมากกว่า DVWA ตรงที่ช่องโหว่ใหม่ๆ และอาจจะไม่ค่อยได้เจอกัน

6. Hackazon
Hackazon เป็น Vulnerable Web Application ที่ถูกสร้างโดย Rapid7 ซึ่งเน้นเป็นการทดสอบพวก Web Service, Web API และอื่นๆ
7. OWASP Juiceshop
เป็น Vulnerable Web Application อีกอันที่ถูกสร้างโดย OWASP  และเป็น Application อีกตัวที่ถูกสร้างด้วย Javascript Engine base ซึ่งตัว OWASP Juiceshop เพิ่งจะเปิดตัวมาไม่นานนี่เอง และเพื่อให้เข้าใช้งานได้ง่ายมากขึ้น จึงได้ทำให้สามารถ deploy ไปพร้อมใช้งานได้หลายๆทาง ไม่ว่าจะเป็นการติดตั้งผ่าน Docker, Vagrant, หรือแม้แต่ลงไปใช้ใน Heroku ก็ตาม

จริงๆแล้วมันยังมีอีกมากมายให้สามารถ download มาทำ lab เล่นกันได้แบบฟรีๆนะครับ ดังนั้นอย่าไปแฮ็คเว็บไซด์ใดๆโดยไม่ได้รับอนุญาตจะดีกว่านะครับ บทลงโทษของการกระทำผิดทางด้านคอมพิวเตอร์ มีบทลงโทษหนักกว่าการผิดกฏหมายทางอาญา ในหลายๆข้ออีกนะครับ “Hack to learn, not learn to hack”

Source:: SecurityOnline