WEB 安全靶场通关指南
DVWA 靶场#
DVWA 靶场的网页应用程序很脆弱,它的主要目标是帮助安全专业人员在实际环境中测试他们的技能和工具,帮助 web 开发人员更好地理解保护 web 应用程序的过程,并帮助教师/学生在教室环境中教授/学习 web 应用程序安全。
Brute Force (爆破)
Command Injection (指令注入)
File Inclusion(文件包含)
File Upload(文件上传)
Insecure CAPTCHA (不安全的验证流程)
SQL Injection (SQL 注入)
SQL Injection-Blind(SQL 盲注)
Weak Session IDs (弱会话)
XSS(DOM)
XSS(Reflected)
XSS(Stored)
Cross Site Request Forgery (CSRF)
CSP Bypass(CSP 绕过)
JavaScript Attacks (前端攻击)
sqli-labs 靶场#
sqli-labs 靶场是专门用于练习 SQL 注入的靶场,共有 65 个 Less。
Basic Injections#
Less 1 ~ 4
Less 5、6、8
Less 7
Less 9、10
Less 11、12
Less 13 ~ 16
Less 17
Less 18、19
Advanced Injections#
Less 20 ~ 22
Less 23
Less 24
Less 25
Less 26
Less 27、28
Less 29 ~ 31
Less 32、33、35、36
Less 34、37
Stacked Injections#
Less 38 ~ 41
Less 42 ~ 45
Less 46 ~ 49
Less 50 ~ 53
Challenges#
Less 54 ~ 65 要求在限定步数内完成注入,没有新的知识需要学习,请读者根据需求进行练习。
CMS 文件管理系统#
CMS 文件管理系统是一个基于 PHP 编写的管理系统,具有新闻查看功能和提交留言功能,对于管理员还有后台管理功能。这个系统没有任何安全机制,具有 SQL 注入漏洞、XSS 漏洞等多种漏洞。
CMS 文件管理系统:SQL 联合查询和报错注入
CMS 文件管理系统:SQL Bool 盲注
CMS 文件管理系统:SQL 时间盲注
CMS 文件管理系统:XSS 漏洞获取密码和 cookie
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
· 浏览器原生「磁吸」效果!Anchor Positioning 锚点定位神器解析
· 没有源码,如何修改代码逻辑?
· 全程不用写代码,我用AI程序员写了一个飞机大战
· DeepSeek 开源周回顾「GitHub 热点速览」
· 记一次.NET内存居高不下排查解决与启示
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· .NET10 - 预览版1新功能体验(一)