Esistono migliaia di web app vunerabili per non parlare di vm vulnerabili:
siti: vunerable design , web for developer
metasploitable, dvwa, bwapp,hacme bank,toxy, web for pentester,owasp mantra, sqli try, poi basta che crei un wordpress o altri in locale con xampp e ci metti un plugin vulnerabile per exploitare il sito