根据您所说的“在线”，在“该死的易受攻击”上进行简单的谷歌搜索将揭示甚至完整操作系统的可免费下载应用程序的存在，这实际上意味着了解软件可能非常易受攻击的所有方式。其中之一是Damn Vulnerable Web App，您猜对了，这是一个该死的易受攻击的 Web 应用程序。曾经还有一个完整的操作系统，称为Damn Vulnerable Linux；它显然已停产（尽管它的重点当然是缺少安全补丁），但这个问题讨论了替代品。

这些不是供您破解的“在线机器”，但您可以下载它们并将它们安装在您自己计算机上的虚拟机上，这可以免费完成（有很好的免费 VM 解决方案，例如VirtualBox）并且很多比在线目标更灵活；它会教你更多，因为你可以随意修改和重置它。

所有这些资源都会被淘汰、修改和替换，所以这个答案的重点是给出正确的搜索关键字。这些关键词是“该死的脆弱”。

这些都是我推荐的。

Web 漏洞
1. Webgoat(推荐) - https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project
2. EnigmaGroup( WarGame ) - http://www.enigmagroup.org
3. Mutillidae(好) http: //sourceforge.net/projects/mutillidae/
4. DVWA（不太好）http://www.dvwa.co.uk/

操作系统漏洞
5. Metasploitable（推荐） - http://sourceforge.net/projects/metasploitable /files/Metasploitable2/
6. 漏洞利用练习（非常好）https://exploit-exercises.com/
7. HowToForge（具体）

我一直在尝试在我的个人网站上为安全爱好者维护一个有用资源列表。这是其中的一部分：

网络应用安全

• 浏览器安全手册- Michal Zalewski
• Google Gruyere - Web Application Exploits and Defenses - 一个小型、俗气的 Web 应用程序，允许其用户发布文本片段并存储各种文件。
• Google 的 XSS 游戏- 在此培训计划中，您将学习发现和利用 XSS 漏洞
• 该死的易受攻击的 Web 应用程序 (DVWA) - 帮助安全专业人员在法律环境中测试他们的技能和工具，帮助 Web 开发人员更好地了解保护 Web 应用程序的过程，并帮助教师/学生在课堂上教授/学习 Web 应用程序安全性房间环境

内存利用

• David Brumley 关于漏洞利用和控制流劫持防御的讲义
• 马里兰大学Coursera 上的软件安全课程 - 探索软件安全的基础并涵盖重要（和常见）的软件漏洞，例如缓冲区溢出、SQL 注入和会话劫持
• Embedded Security CTF - 您已获得对控制锁的设备的访问权限。你的工作：通过利用设备代码中的错误来破解锁。

图书

• Web 应用程序黑客手册：发现和利用安全漏洞 -亚马逊链接

您可以找到提供所谓战争游戏的平台，例如OverTheWire。

在此类游戏中，您可以通过 SSH 访问带有自定义易受攻击软件的公共机器，您必须利用这些软件才能进一步发展。