XVWA黑客靶场发布

简介

Xtreme Vulnerable Web Application (XVWA)是一款使用PHP/MySQL编写的靶场，可以帮助初学者快速学习安全姿势。

我们建议将这个靶场部署在本地服务器来提升你的能力。当然了学习并掌握这些姿势后，还望各位能够积极的在评论区交流经验，帮助更多的朋友。

XVWA中包含的漏洞

SQL Injection – Error Based

SQL Injection – Blind

OS Command Injection

XPATH Injection

Unrestricted File Upload

Reflected Cross Site Scripting

Stored Cross Site Scripting

DOM Based Cross Site Scripting

Server Side Request Forgery (Cross Site Port Attacks)

File Inclusion

Session Issues

Insecure Direct Object Reference

Missing Functional Level Access Control

Cross Site Request Forgery (CSRF)

Cryptography

Unvalidated Redirect & Forwards

Server Side Template Injection

指令

XVWA采用一站式安装，你可以在windows, linux 或 Mac平台下进行设置，为了能正常使用XVMA你需要按以下几个步骤配置Apache-PHP-MYSQL环境，这里我们使用的是XAMP，你也可以自己选择喜欢的集成包。

将xvwa文件复制到你的web目录，确保目录名依旧为xvwa。

在xvwa/config.php文件中对数据库连接进行必要的修改，如下面例子：

$XVWA_WEBROOT = '';

$host = "localhost";

$dbname = 'xvwa';

$user = 'root';

$pass = 'root';

在PHP配置文件中进行修改：

file_uploads = on

allow_url_fopen = on

allow_url_include = on

通过http://localhost/xvwa/ 访问应用

进入http://localhost/xvwa/setup/ 设置数据库和表单

登录细节：

admin:admin

xvwa:xvwa

user:vulnerable

免责申明

因为XVMA存在许多漏洞，请不要将XVWA部署在生产环境之中。由此产生的后果请自行负责。

版权

该项目已获取创作共用署名4.0许可协议。