+60 plataformas para aprender e praticar hacking (2023)

Neste artigo, eu vou compartilhar com vocês uma lista de plataformas para aprender e praticar hacking e cybersecurity que venho construindo desde 2021.

Os tópicos abordados variam desde o básico de redes até a invasão de máquinas. Além disso, você pode dar sugestões para esta lista comentando abaixo ou pelo meu 🐦 Twitter.

Se esta lista te ajudar, considere me pagar um café com um Pix :)

Plataformas para aprender hacking 🔒

Legenda: ⭐️ = meus favoritos

1. 247CTF: plataforma gratuita com exercícios introdutórios e exercícios de criptografia, redes, reversing, web e afins.
2. alert(1) to win: série de desafios gratuitos e rápidos de XSS e código vulnerável para você explorar.
3. Application Security Challenge: série de desafios e gratuitos de aplicação web vulnerável no estilo CTF.
4. Attack & Defense: plataforma com +2300 exercícios gratuitos para pentesters, desde os novatos até os experts.
5. BugBountyHunter: plataforma paga (plano anual de 150 libras, que depois abaixa para 50 libras) com +100 vulnerabilidades em aplicações web para você praticar. Depois de achar 100 bugs, você não é mais cobrado.
6. bWAPP: ou buggy web application, é uma aplicação web livre e open source com +100 falhas para você descobrir e corrigir, além de contar com tutoriais.
7. Capture The Flag 101: site com artigos voltados para quem está jogando (ou começando a jogar) CTFs.
8. ⭐ ️Cisco Networking Academy: plataforma da Cisco que oferece cursos e certificados de redes de computadores e infraestrutura gratuitamente. Como redes é um assunto essencial e básico, considero esta plataforma obrigatória para quem está começando.
9. CMD Challenge: um jogo gratuito que simula um terminal para testar suas habilidades com Bash. São desafios fáceis e voltados para os iniciantes.
10. Codecademy: plataforma com módulos e cursos sobre programação, como Python, Bash e C, usados para a criação de exploits e automatizações, e tópicos introdutórios de segurança. O plano gratuito é bem limitado e o plano pago a partir de R$70/mês (jun/2023).
11. Coursera: gigante da educação, conta com +7000 cursos, especializações, certificados e até mestrados. Existem vários cursos que te permitem assistir às aulas, mas é preciso pagar para obter os certificados. Os planos pagos são a partir de R$165/mês (plano anual) (jun/2023).
12. crackmes.one: um site simples com +3600 crackmes, que são pequenos arquivos projetados para testar suas habilidades de engenharia reversa.
13. ⭐ ️CryptoHack: plataforma gamificada com desafios gratuitos de criptografia, passando desde os conceitos mais básicos até os mais avançados da criptografia moderna.}
14. CTFlearn: site com desafios no estilo CTF abordando vários tópicos: criptografia, reversing, binary exploitation, programação etc.
15. ⭐ ️CTFtime: esta plataforma lista CTFs que estão ocorrendo, ou vão ocorrer ou que já terminaram, além de links para write-ups (soluções) e leaderboards.
16. Cybrary: disponibiliza cursos, treinamento e certificações de altíssima qualidade, mas não é tão barato: ~R$300/mês (jun/2023).
17. Defend the Web: oferece vários artigos da área de segurança gratuitamente e cobrindo diversos tópicos diferentes.
18. Desec Security: empresa brasileira de treinamentos em segurança. Possui cursos gratuitos e pagos.
19. EC-Council Learning: respeitada na área de cybersecurity, a EC-Council também oferece treinamentos (gratuitos e pagos) sobre os mais diversos assuntos e com certificado.
20. Exploit.Education: plataforma gratuita com recursos que abordam vários tópicos, dentre eles análise de vulnerabilidade, criação de exploits, software debugging, análise binária etc.
21. Game Hacking Academy: como o próprio nome diz, este site traz uma série de lições e exercícios voltados para o game hacking
22. Google CTF: plataforma que hospeda CTFs do Google, que está continuamente criando novas competições.
23. Google Gruyere: é um site repleto de vulnerabilidades para praticar e aprender a mitigá-las, disponibilizado pelo Google.
24. Hackaday.io: um dos poucos lugares para aprender sobre hardware, com projetos abertos e livres.
25. Hackaflag: empresa brasileira com uma plataforma que oferece Bug Bounty, CTF, cursos gratuitos e está sempre envolvida em eventos presenciais.
26. Hacker 101: disponibiliza vídeos e desafios em formato de CTF, oferecido pela HackerOne, uma das maiores plataformas de BugBounty atualmente.
27. Hackerrank: diferente dos demais da lista, esta plataforma traz desafios para você praticar suas habilidade de programação, o que pode ser vantajoso na hora de escrever um script ou exploit.
28. HackerSec Academy: a HackerSec é uma empresa brasileira de segurança e a Academy oferece treinamento na área de alta qualidade, a partir de R$258/mês (plano anual).
29. Hacking Club: edtech brasileira que disponibiliza uma plataforma com vários treinamentos. Possui um plano grátis, porém limitado (sem write-up e com limitação de exercícios semanais) e planos pagos a partir de R$49,90 (jun/2023).
30. HackMyVM: plataforma gratuita onde as pessoas compartilham VMs (máquinas virtuais) vulneráveis para você configurar no seu computador e testar suas habilidades.
31. Hacksplaining: site interativo e gratuito voltado para desenvolvedores que explica vulnerabilidades em aplicações web, como SQL Injection, XSS, RCE etc.
32. ⭐️ HackTheBox: talvez a maior plataforma de treinamento para pentesters, oferece vários desafios, leaderboards, competições por temporada, CTFs e até uma máquina virtual diretamente do seu browser com tudo que você precisa. Oferece vários desafios gratuitamente e seu plano VIP é R$70/mês (jun/2023).
33. ⭐ ️HackTheBox Academy: plataforma independente do HackTheBox e muito bem feita que oferece ótimos cursos e formações para pentesters, incluindo vários módulos gratuitos.
34. HackThisSite: ativo desde 2003, este site foi projetado para ser hackeado e possui diversos problemas para serem resolvidos gratuitamente.
35. HBH (Hellbound Hackers): fundado em 2003, o HBH é uma comunidade sem fins lucrativos com +150 desafios, além de laboratórios práticos e um fórum para trocar ideia com os usuários mais experientes.
36. LetsDefend: oferece excelentes treinamentos para SOC/blue team (quem defende as organizações), possui plano gratuito (limitado) e seu plano pago é a partir de R$125/mês (jun/2023).
37. MalDev Academy: plataforma com diversos módulos focados no desenvolvimento de malwares, ensinando desde o básico até o avançado. Os planos começam a partir de R$300/mês ou R$2500/vitalício (jun/2023).
38. Metasploitable3: uma máquina virtual com uma grande quantidade de vulnerabilidade e que está disponível para baixar pelo GitHub.
39. OffSec: empresa que emite a certificação OSCP e oferece +5600 horas de conteúdo, +1500 vídeos e +2200 exercícios. Seus planos começam a partir de R$330/mês (plano anual e sem tentativas para conseguir certificação).
40. ⭐ ️OverTheWire: site com uma série de desafios interativos para todos os níveis e em formato de jogo para você praticar conceitos de segurança.
41. Pentester Lab: plataforma que oferece exercícios práticos (alguns deles são gratuitos) para pentesters e certificado de conclusão com planos a partir de R$58/mês (plano trimestral) (jun/2023).
42. ⭐ ️PicoCTF: comecei por aqui porque possui MUITOS exercícios práticos, simples e gratuitos no formato CTF. Caso você tenha dificuldades, existe o PicoCTF Primer e você pode procurar os write-ups (soluções) no Google.
43. PicoCTF Primer: possui vários artigos bem completos explicando os conceitos básicos para quem está começando em CTFs.
44. ⭐ ️Portswigger WebSec Academy: da empresa proprietária do Burpsuite, esta plataforma é referência no aprendizado de segurança de aplicações web. Com certeza, um dos principais recursos que você deve utilizar.
45. PracticalPentestLabs: plataforma com +30 cenários reais com exercícios interativos para pentesters, cobrindo tópicos desde engenharia social até pentesting de aplicações web. Possui exercícios grátis e possui plano pago vitalício por R$215 (jun/2023).
46. pwn.college: hospeda uma série de exercícios gratuitamente no estilo CTF e é oferecido pela Universidade do Arizona. Também possui desafios voltados para iniciantes.
47. pwnable.kr: oferece cenários para a prática de exploração e invasão de sistemas (pwn) de forma gratuita, além de um ranking para os melhores classificados.
48. Pwned Labs: plataforma com laboratórios pequenos e rápidos (pagos ou gratuitos) e que trazem cenários e vulnerabilidades reais para você aprender e praticar suas habilidades como ethical hacker.
49. Range Force: focada em treinamentos de segurança defensiva de empresas, mas você também pode solicitar uma demonstração dos serviços prestados.
50. Root Me: disponibiliza +500 desafios e +160 ambientes virtuais para você praticar suas habilidades como hacker ético. É possível acessar sem pagar e tem o plano pago que te habilita a receber medalhas compartilháveis, o que é ótimo para o currículo.
51. Roppers: possui cursos gratuitos voltados para iniciantes em segurança, como cursos introdutórios de computação, de segurança e de redes.
52. Secure Flag: específica para programação segura, voltada para programadores, DevOps e engenheiros de QA, conta com laboratórios, trilhas de aprendizado etc. em dezenas de linguagens de programação diferentes.
53. Smash The Stack: plataforma semelhante ao OverTheWire e oferece simulações de cenários reais para você praticar pentesting em aplicações web, exploiting de softwares e afins.
54. Solyd: empresa brasileira que oferece treinamentos de segurança, incluindo alguns cursos grátis como Python básico e introdução a pentesting.
55. TCM Security Academy: empresa reconhecida que oferece uma plataforma com cursos de segurança e certificações. É possível comprar cursos por R$150 cada ou R$150/mês para ter acesso a todos os cursos.
56. The Cryptopals Crypto Challenges: plataforma voltada para criptografia moderna, abordando tópicos avançados sobre o assunto de forma gratuita e sem massagem.
57. The Odin Project: projeto da comunidade que traz trilhas de aprendizado gratuitas sobre web development. Apesar de segurança não ser o foco, é legal aprender como funciona o frontend de aplicações web, git e afins.
58. Trail of Bits CTF Guide: guia com artigos simples e rápidos sobre CTFs, binary exploitation, web exploitation, dicas e afins. Feito pelo GitBook.
59. Try2HackMe: oferece um prêmio para quem conseguir resolver 15 desafios práticos no estilo CTF primeiro. Hoje, o prêmio já foi resgatado, mas você ainda pode praticar.
60. ⭐ ️TryHackMe: é uma das maiores plataformas para aprender sobre cyber security. Oferece uma quantidade enorme de módulos e trilhas de aprendizado, além de CTFs e a possibilidade de fazer tudo pelo navegador (assim como o HTB). Existem vários módulos gratuitos e os planos pagos com acesso a tudo estão a partir de R$52,50/mês (plano anual) (jun/2023).
61. Udemy: plataforma que você pode vender ou comprar cursos. Apesar dos certificados não terem grande relevância no currículo, os cursos são baratos e recheados de conteúdo de boa qualidade por preços muito acessíveis. Ótimo para aprender o básico de qualquer tópico, incluindo segurança.
62. VulnHub: assim como o HackMyVM, traz uma série de máquinas virtuais vulneráveis para você configurar no seu computador e praticar em cenários reais.
63. VulnMachines: traz +100 laboratórios gratuitos com cenários reais para praticar pentesting / ethical hacking, por exemplo com a vulnerabilidade Log4Shell.
64. W3Challs: oferece diversos desafios no estilo CTF, abordando tópicos como criptografia, forense, reversing, web etc.
65. WeHackPurple Academy: possui diversos cursos sobre segurança, incluindo segurança de API, OSINT, Incident Response e afins, além de alguns cursos grátis.