DVWA 简介

DVWA（Damn Vulnerable Web Application）是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用，旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好的理解web应用安全防范的过程。通常将演练系统称为靶机。
14个渗透模块：
1.Brute Force(暴力破解)

2.Command Injection（命令注入）

3.CSRF(跨站请求伪造)

4.File Inclusion（文件包含）

5.File Upload（文件上传）

6.Insecure CAPTCHA(不安全的验证码)

7.SQL Injection（SQL注入）

8.SQL Injection（Blind）（SQL盲注）

9.Weak Session IDs（有问题的会话ID）

10.XSS(DOM)（DOM型xss）

11.XSS(ref)（反射型xss）

12.XSS(Stored)（存储型xss）

13.CSP Bypass（Content Security Policy内容安全策略，旁路/绕过）

14.JavaScript

4种安全级别：
low：对爆破攻击行为毫无设防。
medium：对爆破攻击行为防护不足，防护做法欠考虑。
hight：对爆破攻击行为有一定防护，但有疏忽。
impossible：对爆破攻击行为正确防护。
上图是搭建好的靶场环境。