5 trang Web luyện tập kỹ năng Hack – thực hành làm Hacker
Nếu bạn là hacker mũ trắng, rất khó để luyện tập các kỹ năng của bạn mà không gây hại cho bất kỳ ai. Nhưng bạn cũng đừng lo, trong bài viết này, mình sẽ giới thiệu cho bạn các trang web giúp bạn luyện tập kỹ năng hack của mình hoàn toàn hợp pháp trong môi trường sandbox.
1. Google Gruyere
Google Gruyere là một trang web dùng để thực hành các bài Hack – được phát triển bởi chính gã khổng lồ internet Google. Trang web này đầy lỗ hổng và được viết bằng ngôn ngữ “cheese”, lấy cảm hứng từ chủ đề phô mai để thiết kế trang web.
Khi bạn đã sẵn sàng, Google Gruyere sẽ đưa ra một số bài tập để bạn thực hiện tấn công. Google Gruyere sẽ cố tình cho bạn các code bảo mật yếu và dễ bị tấn công để bạn khai thác.
Các vấn đề làm nổi bật những điểm yếu này và giao cho bạn một nhiệm vụ để thực hiện. Ví dụ: một thử thách là bạn sẽ phải đưa các cảnh báo HTML vào tính năng snippets của trang web, tính năng này sẽ kích hoạt mỗi khi người dùng tải trang.
Nếu bạn gặp khó khăn trong lúc hoàn thành thử thách, đừng lo lắng. Mỗi nhiệm vụ sẽ đi kèm với một số gợi ý để giúp bạn đi đúng hướng. Nếu những gợi ý đó không hữu ích, bạn có thể xem giải pháp và tự thực hiện nó để hiểu cách hoạt động của nó.
2. HackThis
Ngay trong tiêu đề của trang web cũng đã cho biết bạn phải làm gì rồi. Trang web sẽ cung cấp một số bài tập thử thách hack để bạn luyện tay.
HackThis có rất nhiều bài tập luyện tập kỹ năng Hack ở các danh mục khác nhau, vì vậy bạn có thể kiểm tra bản thân một cách toàn diện. Có những thử thách cơ bản và những thử thách khó để thử tùy thuộc vào trình độ kỹ năng của bạn. Nếu bạn muốn thử chặn các mã CAPTCHA, thì có cả một mục trong bạn luyện tập luôn đó.
Thậm chí còn có danh mục “Real” bao gồm các tình huống giả tưởng bắt bạn hack trang web cho khách hàng.
Điểm tốt nhất của HackThis là các gợi ý. Mỗi câu đố có một trang gợi ý riêng, nơi bạn có thể nói chuyện với các thành viên của diễn đàn và thảo luận xem bạn đang làm sai ở đâu. Các thành viên sẽ không bao giờ đưa ra giải pháp cho bạn để bạn có thể tự mình tìm ra giải pháp.
3. bWAPP
Mặc dù hack các trang web rất hữu ích, nhưng có một số lỗi và cách khai thác mà họ không thể mô phỏng. Ví dụ: các trang web này không thể lưu trữ các thử thách liên quan đến việc gỡ một trang web. Vì chỉ có người đầu tiên mới thực hiện được thử thách, đến người thứ 2 thì web bị gỡ rồi lấy đâu ra chơi tiếp :v.
Do đó, tốt nhất bạn nên thực hiện các cuộc tấn công tàn khốc hơn trên máy chủ tự lưu trữ để không làm hỏng trang web của người khác. Nếu bạn quan tâm đến lĩnh vực hack này, hãy thử tấn công web bWAPP.
Điểm mạnh chính của bWAPP là số lượng lỗi để luyện tập kỹ năng Hack của nó. Nó có hơn 100 lỗi, từ các lỗi Từ chối Dịch vụ (DDoS) đến các lỗ hổng Heartbleed cho đến HTML5 ClickJacking. Nếu bạn muốn tìm hiểu về một lỗ hổng cụ thể, rất có thể bWAPP đã mô phỏng nó.
Khi bạn muốn thử nghiệm, hãy tải xuống và chạy nó trên hệ thống mục tiêu của bạn. Sau khi chạy, bạn có thể học cách hack hợp pháp mà không phải lo lắng về việc làm phiền quản trị viên web.
4. OverTheWire
OverTheWire có tính năng wargames và warzones cho các trận hack nâng cao hơn. Wargames là những trận hack độc đáo, thường có một chút cốt truyện để thêm gia vị cho thử thách. Wargames có thể là một sự kiện cạnh tranh giữa các hacker, như một cuộc đua hoặc bằng cách tấn công máy chủ của nhau.
Mặc dù điều này nghe có vẻ phức tạp và đáng sợ, nhưng đừng lo lắng. Trang web vẫn cung cấp các bài học từ những điều cơ bản đến các thủ thuật nâng cao hơn. Nó yêu cầu kết nối Secure Shell (SSH) để sử dụng, vì vậy hãy chắc chắn học SSH nếu bạn muốn thử OverTheWire. Bạn có thể tìm hiểu về SSH trong bài viết này.
OverTheWire có ba mục đích sử dụng chính. Đầu tiên, bạn có thể chơi các game nhỏ với độ khó tăng dần để học cách hack. Khi bạn đã thành thạo một số kỹ năng, bạn có thể tải wargame với các bối cảnh độc đáo để có trải nghiệm nhập vai hơn.
Ngoài ra còn có khu vực chiến tranh, một mạng độc quyền được thiết kế để hoạt động giống như Internet IPV4. Mọi người có thể đưa các thiết bị dễ bị tấn công, có thể hack vào mạng này và những người khác sẽ sử dụng chúng để thực hành kỹ năng hack của họ.
5. Hack This Site
Thêm một trang web luyện tập kỹ năng Hack, tên gọi ngay trên tiêu đề. Hack This Site là một nguồn tài nguyên học tập tuyệt vời. Nó bao gồm các bài học dành cho người mới bắt đầu đến các bài tấn công nâng cao cho máy tính và điện thoại.
Một số nhiệm vụ có câu chuyện nhỏ để giữ cho bạn tham gia vào các bài học. Ví dụ: những người tham gia khóa học Basic sẽ học trực tiếp với Chuyên gia an ninh mạng Sam. Anh ấy là một người hay quên và kiên quyết với việc lưu trữ mật khẩu của mình trên trang web, vì vậy anh ấy không bao giờ quên mật khẩu. Mỗi khi bạn bẻ khóa bảo mật và phát hiện ra mật khẩu của anh ấy, anh ấy sẽ gia tăng tính bảo mật cho trang web của mình.
Các bài tập “thực tế” cũng rất thú vị. Đây là những trang web giả mạo được thiết lập để bạn tấn công với mục tiêu cụ thể. Bạn có thể gian lận hệ thống bình chọn để đưa ban nhạc lên top đầu hoặc gian lận xổ số chẳng hạn.
Mỗi câu đố đi kèm với một chủ đề dành riêng cho các diễn đàn nơi bạn có thể nhận được trợ giúp. Các vấn đề và thảo luận đã có từ lâu, và người dùng đã đăng nhiều tài nguyên hữu ích cho bạn học tập.
Một lần nữa, không ai sẽ cho bạn biết ngay giải pháp cho mỗi thử thách, vì vậy bạn không phải lo lắng về những spoiler. Tuy nhiên, nếu bạn sẵn sàng thực hiện một cuộc tấn công, bạn sẽ thấy các gợi ý và mẹo của họ là quá đủ đối với bạn.
Các trang web này có giúp Hacker lấy cắp dữ liệu không?
Khi bạn vào các trang web này, bạn có thể nhận ra rằng kẻ xấu có thể sử dụng những kỹ năng tương tự cho mục đích xấu. Ví dụ, một số nhiệm vụ “thực tế” là bạn đột nhập vào hệ thống thư viện hoặc trang web bình chọn ca sĩ yêu thích nhất. Vì vậy, ai cũng nghĩ những trang web này đang đào tạo những hacker mũ đen cả.
Sự thật là, nếu những trang web này không tồn tại, những Hacker bất chính sẽ vẫn lấy được tài nguyên trên dark web. Trong khi đó, các lập trình viên viết web là những người cần học các kỹ thuật hack nhất sẽ không có nơi nào để học và thử nghiệm các kỹ thuật hack này.
Các lập trình viên sẽ lặp đi lặp lại những lỗi giống nhau, trong khi Hacker sẽ lợi dụng chúng bằng cách sử dụng dark web để phát tán tài nguyên và hướng dẫn hack các lỗi đó.
Do đó, việc công khai thông tin này mang lại cho các lập trình web phương pháp họ cần để bảo mật trang web của mình. Tất cả các nhà thiết kế web sẽ học cách bảo vệ trang web của họ theo cách này và ngăn chặn các cuộc tấn công theo các bài tập ở trên có thể áp dụng vào trang web của họ.