免费选项很少，但有大量关于特定攻击媒介或产品/工具的视频和教程。它们不会让你成为渗透测试员，但它们是免费的学习资源。

一些不错的选择让你开始：

• MetaSploit Unleashed : 学习一个利用框架
• SecurityTube：涵盖众多主题的各种视频
• NMap : 标准的网络枚举工具
• Web 应用程序黑客手册：它不是免费的，但它是 Web 应用程序安全的圣经

对于实践，有许多资源：

• Metasploitable VM（和其他故意易受攻击的 VM）
• DVWA
• 鳖科
• 网络山羊
• Vulnhub
• 黑客我

在这个网站上搜索其他对免费学习资源提供意见的人。但是，学习的唯一方法是弄脏你的手。

继续努力，继续提问！

除了工具链接、易受攻击的实践应用程序等之外，渗透测试执行标准旨在成为如何进行测试的权威标准： http: //www.pentest-standard.org/index.php/Main_Page

您可以使用 VM Player 将它们放在虚拟机上并进行播放。

该死的易受攻击的 Linux ( http://sourceforge.jp/projects/sfnet_virtualhacking/downloads/os/dvl/DVL_1.5_Infectious_Disease.iso/ )

De-Ice/Hackerdemia ( http://forums.heorot.net/ )

为了学习，我会查看不同的渗透测试方法，例如开源安全测试方法手册 (http://isecom.securenetltd.com/osstmm.en.2.1.pdf)。这些通常会列出要检查的内容。然后，您可以查看这些清单并在网上查找有关如何击败各种技术的各种教程。

我最近读过的最好的书之一是编写安全工具和漏洞利用（http://www.amazon.com/Writing-Security-Tools-Exploits-Foster/dp/159749997/ref=sr_1_1?ie=UTF8&qid=1328592753&sr =8-1 )。它涵盖了基本的汇编、创建 shellcode、查找和写入缓冲区溢出的技巧、格式化字符串、堆攻击等等。这本书有点过时，并没有涵盖 ASLR 和 NX 之类的内容，但通过大量示例和很好的解释提供了坚实的基础。

信息安全是一个非常广泛的领域，它由多个子领域组成：基础设施安全、应用安全、网络安全等。根据您的问题，我相信您感兴趣的领域是 Web 应用程序安全 - WebGoat 和 Gruyeres 是两个易受攻击的应用程序，专门用于教授 Web 应用程序安全中最常见的漏洞。这是他们唯一提到和解释的主题。

在我看来，开始 Web 应用程序安全的最佳方式是阅读OWASP 前 10 名列表和解释，然后继续测试 Web 应用程序的漏洞（当然只能针对您自己的 QA 机器或在管理员书面同意的情况下） . 如前所述，Fundstone（现为 Mcafee）Hacme 系列非常好，提供多种语言（因此您可能会找到一种您熟悉的语言），并附带有关如何操作和破坏 Hacme 应用程序的详细教程。

有关易受攻击的应用程序和虚拟机的更完整列表，您可能想尝试易受攻击的应用程序市场

另一个很好的学习方法，虽然有点老了，但是通过MSDN 安全实验室，它是免费的，教授各种各样的科目：

• 开发人员入门工具包：缓冲区溢出
• 开发者入门工具包：代码分析
• 开发者入门工具包：编译器防御
• 开发者入门工具包：模糊测试
• 开发者入门工具包：安全代码审查 开发者入门工具包：SQL 注入漏洞

祝你好运！