Практика

SQL инъекции

Это таски от спбстф, ниже разбор

Web Kids 2.0

SQL injection challenge

Таска от хакердома

SQL Injection

TryHackMe | SQL Injection LabTryHackMe

What is SQL Injection? Tutorial & Examples | Web Security AcademyWebSecAcademy

DVWA - Damn Vulnerable Web App

Damn Vulnerable Web Application (DVWA) — это веб-приложение на PHP/MySQL, которое чертовски уязвимо.

Подробнее - https://kali.tools/?p=1820

🐝 bwapp - buggy web application

bWAPP, или buggy web application (глючное веб-приложение), — это бесплатное, с открытым исходным кодом, намеренно небезопасное веб-приложение.

Подробнее - https://kali.tools/?p=2330 , https://habr.com/ru/post/250551/

🐐OWASP WebGoat

WebGoat is a deliberately insecure application that allows interested developers just like you to test vulnerabilities commonly found in Java-based applications that use common and popular open source components.

Подборка XSS игр

Test Your XSS Skills Using Vulnerable Sites | AcunetixAcunetix

hax.tor.hu

Таски по вебу, решения есть в сети.

HAX.TOR :: Hacking Challenges - Free Shell Account - Security

google-gruyere.appspot.com

Практика по различным уязвимостям

Web Application Exploits and Defenses

Tryhackme.com

На этой площадке много интересных комнат по WEB'у (как платных, так и бесплатных), рандомный пример:

TryHackMe | SQL Injection LabTryHackMe

TryHackMe | InclusionTryHackMe

TryHackMe | OWASP Top 10TryHackMe