Buenas, estoy llevando a cabo un proyecto que consiste en hacer una especie de battlefield online de hackers  .

La idea es subir al servidor una pagina como puede ser una agencia de viajes totalmente funcional pero con vulnerabilidades para que los usuarios las exploten y aprendan, pero antes de implementar el componente online me gustaría asegurarme de desarrollar bien la seguridad del sistema. La cosa es que cuando ese proyecto vulnerable es subido a un servidor ¿como se podría simular una especie de entorno seguro dentro del proyecto para no comprometer la seguridad del servidor y de los usuarios que se encuentren en esa misma partida?

Saludos.

Se simulan/emulan los fallos. No hace falta hacerlos de verdad. Aunque también se puede.

if(inputText.value == "\"/>confirm()")
{
alert("Enhorabuena, explotaste un bug");
}

if(login.value == "1\' or \'1\' = \'1")
{
contenedor.innerHTML = arrayBaseDeDatos;
}

Por qué no va a quedar bien? El usuario no sabe lo que pasa en el back-end.
Normalmente se da una página a cada usuario por cuenta. De tal forma que solo el usuario que entre en la cuenta pueda ver sus scripts inyectados.

Yo no pondría un sevidor vulnerable sin ser un experto. Igual dejas la puerta abierta a una escalada real sin tener la menor idea y se infecta a todos los usuarios.

Si tuviese que hacerlo así, desarrollaría mi propio servidor. Quizás emulando la máquina virtual de dalvik.