IPAが、脆弱性体験学習ツール AppGoatを開発し、公開されています。
ちょっとやってみましたが、かなり作りこまれていて、本格的です。
Webサーバを立てるなどの手順を踏む必要があり、それほど手軽とは言えませんが、ほとんどがスクリプト化されているので、数分で体験までこぎつけることができます。
脅威および攻撃手法を実際に体験するいい機会です。皆さんもお試し下さい。
http://www.ipa.go.jp/security/vuln/appgoat/index.html