2022-08-13 00:02 Temps de lecture : 14 min
Apps & Logiciels

8 applications Web vulnérables pour pratiquer le piratage légalement

Améliorer vos compétences en piratage éthique grâce à la pratique

Rien ne vaut la mise en pratique pour renforcer la confiance en ses compétences de piratage éthique.

Il peut être difficile pour les experts en sécurité et les testeurs d'intrusion de tester leurs capacités dans un cadre légal. C'est pourquoi des sites web spécifiquement conçus pour être vulnérables offrent un environnement sécurisé et stimulant pour la pratique du piratage.

Ces sites et applications web, intentionnellement non sécurisés, constituent un terrain d'apprentissage idéal. Les débutants peuvent s'exercer à identifier des vulnérabilités, tandis que les professionnels de la sécurité et les chasseurs de primes aux bogues peuvent approfondir leur expertise et découvrir de nouvelles failles.

L'intérêt des applications web vulnérables

Utiliser ces applications et sites web volontairement vulnérables vous permet de pratiquer vos compétences de test en toute légalité, en restant du bon côté de la loi. Vous pouvez ainsi "hacker" sans prendre le risque de vous retrouver dans une situation illégale.

Ces environnements sont conçus pour aider les passionnés de sécurité à développer et perfectionner leurs compétences en matière de sécurité informatique et de tests d'intrusion.

Cet article présente plusieurs types d'applications délibérément créées avec des vulnérabilités, souvent appelées "Damn Vulnerable" (Sacrément Vulnérables).

L'application web Buggy, généralement connue sous le nom de BWAPP, est un outil gratuit et open-source. Il s'agit d'une application PHP utilisant une base de données MySQL en backend. BWAPP propose plus de 100 bogues sur lesquels vous pouvez travailler, que ce soit pour vous préparer à une mission ou simplement pour entretenir vos compétences en piratage éthique. Elle couvre la plupart des vulnérabilités de sécurité majeures et courantes.

Cet outil inclut plus d'une centaine de vulnérabilités et de défauts d'applications web, basés sur le projet OWASP Top 10. Voici quelques exemples :

  • Script intersite (XSS) et falsification de requête intersite (CSRF)
  • Attaques par déni de service (DoS)
  • Attaques de l'homme du milieu
  • Falsification de requête côté serveur (SSRF)
  • Injections SQL, de commandes OS, HTML, PHP et SMTP, etc.

Cette application web vous aidera à mener des tests de piratage éthique et de "pen testing" en toute légalité.

Vous pouvez facilement télécharger bwapp en cliquant ici.

Damn Vulnerable Web Application (DVWA)

La Damn Vulnerable Web Application, souvent abrégée DVWA, est développée en PHP et MySQL. Elle est volontairement conçue pour être vulnérable, afin que les professionnels de la sécurité et les pirates éthiques puissent tester leurs compétences sans compromettre illégalement les systèmes d'autrui. Pour fonctionner, DVWA nécessite l'installation d'un serveur web, de PHP et de MySQL. Si vous n'avez pas encore configuré de serveur web, la méthode la plus rapide pour installer DVWA est de télécharger et d'installer "XAMPP". XAMPP est disponible en téléchargement ici.

Cette application web "sacrément vulnérable" offre de nombreuses vulnérabilités à tester :

  • Attaques par force brute
  • Exécution de commandes
  • CSRF et inclusion de fichiers
  • Injections XSS et SQL
  • Téléchargement de fichiers non sécurisé

L'avantage principal de DVWA est que vous pouvez ajuster les niveaux de sécurité pour pratiquer les tests sur chaque vulnérabilité. Chaque niveau de sécurité demande un ensemble de compétences spécifiques. Les chercheurs en sécurité peuvent étudier le fonctionnement du backend grâce à la décision des développeurs de rendre le code source public. C'est très utile pour approfondir la compréhension de ces problèmes et pour aider d'autres personnes à se former.

Google Gruyère

Il est rare d'associer les mots "fromage" et "piratage", mais ce site web est truffé de failles, comme un bon fromage suisse. Gruyère est un excellent choix pour les débutants souhaitant apprendre à localiser, exploiter et contrer des vulnérabilités. Il utilise un codage "fromager" et l'ensemble du design est basé sur le thème du fromage.

sources d'images : Google gruyère

Pour faciliter l'apprentissage, il est écrit en Python et les vulnérabilités sont classées par type. Chaque tâche inclut une brève description de la vulnérabilité à localiser, exploiter et identifier à l'aide de techniques de piratage en boite noire ou en boite blanche (ou une combinaison des deux). Voici quelques exemples :

  • Divulgation d'informations
  • Injection SQL
  • Falsification de requêtes intersites
  • Attaques par déni de service

Bien qu'une certaine connaissance préalable soit nécessaire, c'est l'option idéale pour les débutants.

WebGoat

Cette liste inclut également un autre projet OWASP, et l'un des plus populaires. WebGoat est une application non sécurisée que vous pouvez utiliser pour en apprendre davantage sur les problèmes courants liés aux applications côté serveur. Il a pour but d'aider les utilisateurs à se familiariser avec la sécurité des applications et à pratiquer les techniques de "pen testing".

Chaque leçon vous permet de découvrir une faille de sécurité spécifique, puis de l'exploiter dans l'application.

Voici quelques exemples de vulnérabilités présentes dans WebGoat :

  • Dépassements de tampon
  • Mauvaise gestion des erreurs
  • Défauts d'injection
  • Configuration et communications non sécurisées
  • Failles de gestion de session
  • Modification des paramètres

Metasploitable 2

Metasploitable 2 est l'une des applications en ligne les plus utilisées par les experts en sécurité. Les passionnés de sécurité peuvent utiliser des outils avancés comme Metasploit et Nmap pour tester cette application.

L'objectif principal de cette application vulnérable est le test de réseaux. Elle est inspirée du célèbre outil Metasploit, utilisé par les chercheurs en sécurité pour découvrir des failles. Vous pourrez peut-être même obtenir un shell sur ce programme. WebDAV, phpMyAdmin et DVWA sont des fonctionnalités intégrées à cette application.

Il est possible que vous ne trouviez pas d'interface graphique, mais vous pouvez utiliser de nombreux outils via le terminal ou la ligne de commande pour l'exploiter. Vous pouvez vérifier ses ports, ses services et sa version, entre autres. Cela vous aidera à évaluer votre capacité à maîtriser l'outil Metasploit.

Damn Vulnerable iOS App (DVIA)

DVIA est une application iOS qui permet aux passionnés de sécurité mobile, aux experts et aux développeurs de pratiquer des tests d'intrusion. Elle a été récemment mise à jour et est maintenant disponible gratuitement sur GitHub.

Suivant le Top 10 des risques mobiles d'OWASP, DVIA inclut les vulnérabilités typiques des applications iOS. Elle est développée en Swift et toutes les vulnérabilités ont été testées jusqu'à iOS 11. Vous aurez besoin de Xcode pour l'utiliser.

Voici quelques exemples de fonctionnalités disponibles dans DVIA :

  • Détection d'évasion
  • Hameçonnage
  • Cryptographie brisée
  • Manipulation de l'exécution
  • Application de correctifs
  • Correction binaire

OWASP Mutillidae II

Mutillidae II est un projet open-source et gratuit développé par OWASP. Il est souvent utilisé par de nombreux passionnés de sécurité car il propose un environnement de piratage en ligne facile à utiliser. Il présente une grande variété de vulnérabilités, ainsi que des recommandations pour aider l'utilisateur à les exploiter. Cette application web vous permet de perfectionner vos compétences si le test d'intrusion ou le piratage sont vos passions.

Il contient diverses vulnérabilités à tester, notamment le détournement de clic et le contournement d'authentification. La section consacrée aux vulnérabilités inclut également des sous-catégories pour explorer d'autres possibilités.

Vous devrez installer XAMPP sur votre système, mais Mutillidae inclut XAMPP. Vous pouvez également basculer entre les modes sécurisé et non sécurisé. Mutillidae est un environnement de laboratoire complet qui contient tout ce dont vous avez besoin.

Dojo de la sécurité Web

WSD est une machine virtuelle incluant divers outils tels que Burp Suite et ratproxy, ainsi que des machines cibles comme WebGoat. Il s'agit d'un environnement d'apprentissage open-source basé sur le système d'exploitation Ubuntu 12.04. Il propose également du matériel de formation et des guides pour certains objectifs.

Vous n'avez pas besoin d'utiliser d'autres outils pour l'utiliser ; cette VM suffit. Vous devez d'abord installer et exécuter VirtualBox 5 (ou une version ultérieure) ou VMware. Ensuite, importez le fichier .ova dans VirtualBox/VMware et le tour est joué. Il aura la même apparence que n'importe quel système d'exploitation Ubuntu.

Cette machine virtuelle est idéale pour l'auto-apprentissage et l'apprentissage des débutants, des professionnels et des enseignants qui souhaitent aborder les vulnérabilités.

Conclusion 😎

Avant de vous lancer dans le domaine professionnel de la sécurité de l'information, il est essentiel d'acquérir une expérience pratique avec des applications non sécurisées. Cela vous aidera à développer vos compétences.

Cela vous permet aussi d'identifier et de travailler sur vos points faibles. En vous exerçant au piratage éthique sur des applications spécialement conçues, vous comprendrez mieux vos capacités et votre niveau en matière de sécurité. Partager ces informations est bénéfique. Vous pouvez utiliser ces applications web pour montrer aux autres comment identifier les failles courantes des applications web.

Auteur
Camille Moreau
France

Rédacteur tech, guides pratiques et astuces numériques.

Articles similaires
2025-10-16
Chine : deux logiciels EDA conçus localement pour l'indépendance technologique
La Chine a fait un pas important dans sa quête d'indépendance technologique dans le secteur crucial des semi-conducteurs avec le lancement...
2025-10-12
Starlink : la science s'inquiète de la luminosité des satellites
Une documentation visuelle récente de la Station Spatiale Internationale (ISS) met en lumière la présence croissante de la constellation de...
2025-10-11
Israël approuve plan de paix Trump pour Gaza : retrait et libération d'otages
Israël a officiellement approuvé un cadre de paix, défendu par le président américain Donald Trump , qui devrait aboutir à une cessation...
2025-10-04
IA en Europe : focus sur les applications face aux géants américains
Le paysage européen de l'intelligence artificielle se caractérise par une tension dynamique entre le développement de modèles fondamentaux...
Article précédent
Sécurisez WordPress avec les options X-Frame et le cookie HTTPOnly
Article suivant
11 bons tutoriels Docker pour débutant à maître