hackxor es una aplicación web programada de forma intencionada con una serie de fallos de seguridad con la que puedes jugar. Contiene fallos del tipo: XSS, CSRF, SQLi, ReDoS, DOR, inyección de comandos, etc.
Puedes jugar de forma online a los 2 primeros niveles, pero como dicha aplicación se aloja en SourceForge piden que uses el sentido común y no uses herramientas de fuerza bruta o escaners automáticos, así como sólo jugar con http://hackxor.sourceforge.net/* y no con otros subdominios.
Puedes empezar desde aquí (algo:smurf).
Si quieres poder jugar a con la versión completa, tendrás que bajarte la imagen desde aquí. Es una imagen para VM Ware y ocupa 586 MB, al menos para esta versión.
Tendrás que configurar tu fichero de hosts para que resuelva: wraithmail, wraithbox, cloaknet, GGHB, hub71 y utrack a la IP que tenga asignada el sistema hackxor. Siempre puedes usar un proxy para ello, de hecho nos sugieren el uso de Burp proxy.
Más información en la página principal.
Happy Hacking!