AppGoat
IPAが、脆弱性体験学習ツール AppGoatを開発し、公開されています。
ちょっとやってみましたが、かなり作りこまれていて、本格的です。
Webサーバを立てるなどの手順を踏む必要があり、それほど手軽とは言えませんが、ほとんどがスクリプト化されているので、数分で体験までこぎつけることができます。
脅威および攻撃手法を実際に体験するいい機会です。皆さんもお試し下さい。
http://www.ipa.go.jp/security/vuln/appgoat/index.html

XSS-GAME
Googeが公開しているXSSのゲームというか、簡易学習サイトがあります。
https://xss-game.appspot.com/
フォームに何かを入力して、脆弱性を見つけるものです。Hintがあるので、押して行くといいでしょう。
体験するにはちょうどいいと思います。

OWASP BWA
学習用の脆弱性があるサイトとして、OWASP BWAがあります。
https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project
BWAとは、Broken(壊れた)WebApplicationです。
使い方などは、ネットに落ちていますので、興味がある方は是非