安全测试全面总结-分类0-安全测试模拟环境 dvwa

再次系统的整理一下深入一下安全测试

如何搭建一个我们自己的安全测试环境，

一 dvwa简介

Damn Vulnerable Web App (DVWA) is a PHP/MySQL
该死的脆弱的应用，

就是模拟了一个脆弱的网站， 然后你可以去攻击他，

里面有很多的题目可以去做，

可以设置网站的安全等级，破解越来越难，

DVWA简介
DVWA是一款基于PHP和mysql开发的web靶场练习平台，集成了常见的web漏洞如sql注入,xss，密码破解等常见漏洞。旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好的理解web应用安全防范的过程。

二 ，dvwa 安装

dvwa是一个安全测试的模拟环境，
安装就使用docker方式，简单，一行命令搞定，
代码都在github上面，

dvwa docker部署

docker pull vulnerables/web-dvwa
docker run -d --name dvwa -p 8081:80 vulnerables/web-dvwa

访问：http://localhost:8081
密码admin/password

三，dvwa使用

看看介绍

这是php和mysql搭建的环境，

主要的目标是为了安全工程师检测和锻炼，

里面分类很多的分类，
DVWA共有十个模块：

• Brute Force（暴力（破解））
• Command Injection（命令行注入）
• CSRF（跨站请求伪造）
• File Inclusion（文件包含）
• File Upload（文件上传）
• Insecure CAPTCHA （不安全的验证码）
• SQL Injection（SQL注入）
• SQL Injection（Blind）（SQL盲注）
• XSS（Reflected）（反射型跨站脚本）
• XSS（Stored）（存储型跨站脚本）

如果你在使用中系统被破坏掉了，可以使用重置数据的方法来还原系统，一个很方便的操作，
当然你也可以重新搞一个docker示例，也可以，

四 dvwa特点

1，详细的漏洞原理解释，
不懂这个漏洞的原理就可以先学习一下，

2，详细的各个等级的破解方案，
你可以先做，不会了看答案，

有view source，view help

DVWA 安全级别
一般情况下，DVWA一共有四种安全级别，分别为：
Low、Medium、High、Impossible
如果你低级的通关了，可以不断把难度调高，