dvwa使用
1、介绍
dvwa是一个基于php+mysql的web漏洞靶场项目,用户可以将其部署在本地,模拟测试和学习。
可以是本地虚拟机安装,也可以考虑本地phpstudy搭建,但不建议将其部署到公共网络的主机上。
phpstudy安装dvwa - 挖洞404 - 博客园 (cnblogs.com)
vm+centos+lnmp部署dvwa - 挖洞404 - 博客园 (cnblogs.com)
2、漏洞类型
Brute Froce 爆破
Command Injection 命令注入
CSRF 跨站请求伪造
File Inclusion 文件包含
File Upload 文件上传
Insecure CAPTCHA 不安全的验证码
SQL Injection sql注入
SQL Injection(Blind) sql盲注
Weak Session IDS 弱会话id
XSS(DOM) DOM型xss
XSS(Reflected) 反射型xss
XSS(Stored) 存储型xss
CSP Bypass csp旁路
JavaScript js3、安全等级
有四个等级:
- Low:几乎没有做安全限制
- Medium:做了简单的安全限制
- High:做了一定程度的安全限制,但仍然可以突破
- Impossible:不可能等级,最高程度的安全限制,无法突破
设置等级提交之后,各类型的代码即发生变化。
4、重置db
在该页面,可以查看一些配置信息,以及在页面下方可以点击“Create/Reset Dabase”按钮,重置数据库信息,以重新进行测试。
5、查看源码与帮助信息
在漏洞页面的右下角可以快速查看源码和帮助信息,当然,也可以到dvwa的安装路径下查看文件。
