安全测试网站-DWVA下载安装启动

参考：DVWA下载、安装、使用（漏洞测试环境搭建）教程 - 付杰博客 (fujieace.com)

DVWA全称为Damn Vulnerable Web Application，意为存在糟糕漏洞的web应用。它是一个基于PHP/MySQL开发的存在糟糕漏洞的web应用，旨在为专业的安全人员提供一个合法的环境，来测试他们的工具和技能。帮助web开发人员理解web应用保护的过程，还可以在课堂中为师生的安全性教学提供便利。
 

下载安装启动登录 

下载DVWA，下载安装启动phpstudy 

phpstudy里面需要创建一个网站

 将下载后的DVWA解压放到这个根目录F:/phpstudy_pro/WWW/DVWA下。

 修改 config.inc.php配置后，启动apache、mysql。

打开网站

访问http://127.0.0.1/login.php

会跳转到setup需要进行一些数据库设置，点击创建数据库，会进行数据库创建。

再次访问登录页面

默认用户名：admin，默认密码：password；

 登录成功

 左侧是漏洞菜单，选择相应漏洞即进入存在该漏洞的页面。

切换编码安全等级

dvwa编码有“Low/Medium/High/Impossible”四个等级；其中Impossible级表示不存在漏洞，无法攻击。

即比如如果dvwa配置为Impossible级，那么注入页面是没法注入的；或者反过来，如果你用各种方法都没法攻击dvwa，那要看看是不是把dvwa配置为了Impossible。

我们可以在页面右下角的”Security Level“得知当前dvwa配置的安全等级，然后可以通过”DVWA Security“配置dvwa的安全等级。

渗透学习（以SQL Injection为例）

进入“SQL Injection”页面，如下图所示

“User ID”那个框显然是注入的框了，但是我们就是小白，就不懂怎攻击，怎么办呢？

练习题不会写，那就直接看答案啊。点击页面右下角“View Help”就可以查看。（View Source是查看当前实现submit查找这个功能的php源代码）