倫理的なハッカーであれば、誰も傷つけずに自分のスキルを試すことは難しい。幸いなことに、多くのウェブサイトが合法的なハッキングの学習方法を教えてくれ、自分のスキルを試すためのサンドボックスを提供してくれています。

ここでは、トラブルに巻き込まれずに合法的にハッキングする方法を教えてくれるウェブサイトを紹介します。

1Google グリュイエール

Google Gruyereは、インターネットの巨人が自ら開発したハッキング可能なウェブサイトです。チーズをテーマにした名前やサイトデザインにちなんで、「チーズ」コードを使用し、脆弱性だらけのサイトになっています。

googlegruyereは意図的に壊れやすい、脆弱なコードを使用しています。

これらの課題は、これらの弱点を浮き彫りにし、課題を与えるものです。例えば、ユーザーがページを読み込んだときに起動するウェブサイトのスニペット機能に、HTMLのアラートボックスを注入することが一つの課題です。

もし、課題のクリアに行き詰まっても大丈夫。各タスクには、正しい方向に進むためのヒントが用意されています。どれも役に立たない場合は、解決策を確認し、自分で実装してエクスプロイトがどのように機能するかを確認することができます。

2 これを切り取る

タイトルで積極的にハッキングを誘うサイトはあまりありませんが、これは例外的です。もちろん、実際の現場をハッキングするわけではありませんが、課題はありますね。

HackThisには様々なカテゴリーのチャレンジがあるので、きっとあなたを試すものが見つかるはずです。基本的な課題から難しい課題まであり、自分のレベルに合わせて挑戦することができます。簡単なキャプチャを解読したい場合は、完全なスニペットがあります。

さらに、サイトの顧客をハッキングする面白い架空のシナリオを含む「リアル」カテゴリーも用意されています。

一番の魅力は、ヒントです。各パズルには専用のヒントページがあり、間違っているところをフォーラムのメンバーに相談することができます。メンバーは絶対に解決策を教えないので、ネタバレを気にせず自分で解決することができます。

株式会社ブワップ

ハッキングサイトは便利な反面、カバーしきれない抜け道や穴があります。例えば、これらのサイトでは、サイトをダウンさせるようなチャレンジはできません。もし、そんなことをしたら、その後、誰もラウンドを取れなくなってしまうでしょう

そのため、より破壊的な攻撃は自前のサーバーで行い、他人のWebサイトに被害を与えないようにするのがよいでしょう。ハッキングのこのような側面に興味がある方は、BuggyWebアプリケーション（bWAPP）を試してみてください。

bWAPPの最大の強みは、バグの多さです。DDoS（Direct Denial of Service）脆弱性から心臓に悪いエクスプロイト、HTML5のクリックジャックまで、100以上の脆弱性が存在するのです。特定の脆弱性について知りたい場合、bWAPPがそれを実装している可能性が高いです。

試してみたいときは、ダウンロードしてターゲットシステムで実行してください。一度起動してしまえば、ウェブマスターの迷惑を気にすることなく、合法的なハッキングの方法を学ぶことができるのです。

ダウンロード：bWAPP（無料）

4 オーバーキル

OverTheWireは、より高度なハッキングセッションのためのウォーゲームとウォーゾーンを備えています。戦争ゲームとは、ユニークなハッキングのシナリオで、通常、雰囲気を盛り上げるための何らかのストーリーがあります。戦争ゲームには、ハッカー同士の対戦イベント、競技会、あるいは互いのサーバーを攻撃することで行われるものがあります。

複雑で怖いと思われるかもしれませんが、ご安心ください。現在も基礎から高度なテクニックまで、さまざまな講座が開かれています。ただし、OverTheWireを使うにはSSH（Secure Shell）接続が必要なので、SSHを勉強しておくといいでしょう。幸い、WindowsにはSSHを簡単に設定する方法がたくさんあるので、それほど支障はないはずです。

OverTheWireには、主に3つの使い方があります。まず、ミニゲームでハッキングの方法を学ぶことができます。ある程度のスキルを身につけたら、ユニークなバックストーリーを持つ戦争ゲームをダウンロードして、より没入感のある体験をしてみてはいかがでしょうか。

また、IPV4インターネット用に設計された専用ネットワーク「Warzone」もあります。人々はこのネットワークに脆弱でハッキング可能なデバイスを置くことができ、他の人はそれを使ってハッキングの練習をすることができるのです。

この記事を書いている時点では、1995年にコンピュータ専門家の下村努をハッキングしたKevin Mitnickがいた。さあ、あなたもMitnickの立場になって、自分でセキュリティシステムをクラックできるか試してみましょう

5 このサイトを侵略する

もう一つのサイトは、あなたがそれをハックするために心から招待され、このサイトをハックすることは素晴らしい学習リソースです。初心者向けの講座から、電話によるフリークアタックのための専用回線まで、幅広く対応しています。

タスクによっては、レッスンに夢中になれるようなショートストーリーが用意されているものもあります。例えば、基礎編を受講する人は、パスワードを絶対に忘れないようにWebサイトに保存することを決意した忘れっぽい男、Web Security Samと対決することになります。あなたが彼のセキュリティを破り、パスワードを発見するたびに、彼は自分のウェブサイトにさらなるセキュリティを追加していくのです。

リアル」なエクササイズも楽しい。これらは、特定のターゲットを想定してハッキングするように仕組まれた偽のWebサイトです。あるバンドをチャートの上位に上げるために投票システムを不正操作したり、ピース・ポエトリーのウェブサイトに悪意を持ってハッキングした人たちの仕事を妨害したり。

各パズルには専用のフォーラムがあり、ヘルプスレッドを取得することができます。このような質問や議論は以前からあり、ユーザーから多くの有用な資料が投稿されています。

繰り返しになりますが、すべての課題の解答をいきなり教えてくれる人はいないので、ネタバレの心配はありません。しかし、もしあなたが調べようとするならば、彼らのヒントがあなたのジレンマを解決するのに十分であることが分かるでしょう。

これらのサイトは、違法なハッキングを助長していませんか？

これらのサイトを閲覧していると、悪意のある人が同じ技術を悪用する可能性があることに気づくかもしれません。例えば、図書館システムやバンドのレーティングサイトに侵入するという「現実的な」ミッションもあります。このようなサイトは、人々を悪の手先として養成していると考えるのは簡単です。

実は、これらのサイトが存在しなかったとしても、悪のハッカーたちはダークウェブでリソースにアクセスすることができるのです。一方、ハッキング技術を最も必要とするウェブ開発者は、これらのハッキングを学び、テストするための正当な場所を失うことになるのです。

開発者は何度も同じ間違いを犯し、ハッカーはその間違いを利用してダークウェブを悪用し、リソースやチュートリアルを広めていくのです。

そのため、この情報を公開することで、ウェブ開発者がサイトを保護するために必要なプラクティスを提供することができるのです。理想的な世界では、すべてのウェブデザイナーがこの方法でサイトを保護する方法を学び、悪意のあるエージェントがこの知識を悪用するのを防ぐことができます。

クラックの方法を学ぶ

ハッキングを学びたいなら、自分でハッキングをするのが一番です。幸いなことに、近所の美容院のウェブサイトを狙う必要はなく、これらの合法的なハッキングサイトを試してみてください。

さらにスキルアップしたい方は、エシカルハッキングのオンラインコースに挑戦してみてはいかがでしょうか。一人でやるより、先生から教わるのもいいかもしれませんね。