Hackerone提供免费的沙盒以供复现现实中出现的漏洞

HackerOne宣布，它为想要测试和磨练自己技能的黑客提供了一套共五种沙箱环境，这些环境都是根据其平台上所报告的流行漏洞建立的。

这些沙箱是和网络安全培训公司HackEDU（https://hackedu.io）合作的结果，并且还借此开展了由漏洞挖掘和奖励平台免费提供的Hacker101在线黑客培训计划。

用Hackboxes测试你的黑客技能

这五个Hackboxes是由HackEDU开发的，并且是平台交互式课程的一部分。

它们都包括一个存在漏洞的应用程序模型以及一个可以拦截和修改web请求的代理工具。

http://hackedu.io/#hacktivity

而HackerOne和HackEDU制作的其中的一个测试环境通过play cards复现了蠕虫式点击劫持攻击，该漏洞于2018年5月报告给了Twitter。

https://hackedu.io/hacktivity/highly-wormable-clickjacking-in-twitter-player-card

在另一个环境中，黑客将挑战复制xm l外部实体（XXE）漏洞，该漏洞至少可以被利用来从服务器读取任意文件。该漏洞在2018年3月被报告给SEMrush。

https://hackedu.io/hacktivity/xxe-in-site-audit-function

第三个Hackbox是试图通过使用命令注入攻击来获得服务器的控制权。现实中对应的漏洞是在Imgur中发现的，并于2017年4月公布。

http://hackedu.io/hacktivity/rce-by-command-line-injection-to-gm-convert

Grabtaxi拥有的网站中的一个漏洞被用来为创建SQL注入测试环境。该公司于2017年11月收到了该漏洞的报告。

http://hackedu.io/hacktivity/drivegrab-sql-injection

最后一个沙箱是关于跨站点脚本（XSS）漏洞，漏洞位于HackerOne用来管理联系人表单的第三方组件中。该漏洞于2017年8月披露。

https://hackedu.io/hacktivity/stealing-hackerone-form-data-using-marketo-xss

这些演示的目的是教育性的，它提供一个安全和合法的方式来实践现实世界的黑客技术。而且还提供了每个漏洞如何生效的原理解释，并且指导用户发现和利用漏洞。

“黑客是一种备受追捧的技能，但是并不总是清楚如何开始或提升到下一个水平。这就是为什么我们创建了Hacker101，”Cody Brocious，HackerOne安全研究人员和黑客教育主管这么说到。

原文链接：https://www.bleepingcomputer.com/news/security/hackerone-offers-free-sandboxes-to-replicate-real-world-security-bugs/