开始学习web安全 & 搭建 Damn Vulnerable Web App 渗透测试平台

今天在查相关学习web安全资料的时候看到了一个词。。“蜜罐”。。。我初二的时候就知道这词了，前阵子重新开始学渗透的时候竟然没意识到，还是自己好好多搭几个本地测试来测试吧...不然坐等查水表...

 

   昨天开始看道哥的《白帽子讲web安全》觉得好多东西好实用啊，web安全这块基本上是空白，要多搭环境来学习技能，省内学校网站。。。XSS，CSRF 用WVS一扫一堆...

 

   可惜自己对这些知识都是空白的。今天看了一点书，，发现道哥Qcon 演讲里的一句话。。。搞这些注入跨站什么的都是很猥琐的。

 

这篇博文主要是想记录一下学习的思路以及学习的过程。

 

  因为之前在freebuf 里面看到过不少web渗透测试是基于 Damn Vulnerable Web App 来进行练习的。

 

介绍一下

Damn Vulnerable Web App

     

      Damn Vulnerable Web App (DVWA) is a PHP/MySQL web application that is damn vulnerable. Its main goals are to be an aid for security professionals to test their skills and tools in a legal environment, help web developers better understand the processes of securing web applications and aid teachers/students to teach/learn web application security in a class .

      （Damn Vulnerable Web App是一个用PHP/MySQL 编写的一套用于常规web漏洞教学和坚持的web脆弱性测试工具，它主要的目的是为了让安全人员在一个合法的环境下测试他们的技能和软件，帮助Web开发人员更好的理解如何使web应用变得更安全和让老师/学生能在课堂上教/学关于Web应用安全。）

 

DVWA 下载地址 http://sourceforge.net/projects/dvwa/

 

1、打开google.co.uk（国内容易断开，习惯上国外的google）直接搜 Damn Vulnerable Web App 然后第一个跳出来的就是官网，第二个是sourceforge.net关于 DVWA项目，两个地方都能下载。（现在的版本是1.0.7）

2、本来打算找找安装教程之类的，不过还是去官网翻翻readme，突然又想到，要养成看readme的习惯。打开以后才发现readme真是好东西，介绍，教程很多都有了。

3、官方推荐是使用XAMPP。（XAMPP is a very easy to install Apache Distribution for Linux, Solaris, Windows and Mac OS X. The package includes the Apache web server, MySQL, PHP, Perl, a FTP server and ）下载地址 http://www.apachefriends.org/en/xampp.html

4、附上安装教程视频（其实Readme里面有，http://www.youtube.com/watch?v=GzIj07jt8rM ，什么的搞渗透的都会吧。Goagent最简单的方法之一）

5、