DVWA安装教程
前言
最近在学 Web 安全,发现 DVWA 这个靶场挺适合练手的。DVWA 全称是 Damn Vulnerable Web Application,说白了就是一个故意写满漏洞的 PHP 网站,专门用来让我们学习怎么发现和利用漏洞。
不过有一点要注意,这玩意漏洞太多了,千万别部署到公网上去,我就放在本地的 Docker 里跑,安全第一。
安装步骤
1. 拉取镜像
既然用 Docker,那就简单了,先拉个镜像:
1 | docker pull vulnerables/web-dvwa |
等几分钟就能拉下来。
2. 启动容器
然后跑起来:
1 | docker run -d -p 3892:80 vulnerables/web-dvwa |
这里 -d 是后台运行,-p 3892:80 把容器里的 80 端口映射到本机的 3892 端口。端口随便改,只要没被占用就行。
3. 访问测试
打开浏览器访问 http://localhost:3892,应该能看到 DVWA 的界面了。
4. 登录
默认账号密码:
- 用户名:admin
- 密码:password
登录进去就可以开始玩了。
安全级别说明
DVWA 有四个安全级别,在左边菜单可以切换:
| 级别 | 难度 |
|---|---|
| Low | 最简单,基本没防护,适合入门 |
| Medium | 有一点防护,但能绕过 |
| High | 防护比较强,需要点技巧 |
| Impossible | 安全编码的示范,基本没法攻破 |
建议从 Low 开始,一步步往上学,最后看看 Impossible 级别的代码是怎么写的,这才是正确的学习姿势。
后续计划
DVWA 有挺多漏洞模块的,后面我会一个个写通关教程:
- Brute Force(暴力破解)
- Command Injection(命令注入)
- CSRF(跨站请求伪造)
- File Inclusion(文件包含)
- File Upload(文件上传)
- Insecure CAPTCHA(不安全的验证码)
- SQL Injection(SQL 注入)
- SQL Injection Blind(盲注)
- Weak Session IDs(弱会话 ID)
- XSS DOM(DOM 型 XSS)
- XSS Reflected(反射型 XSS)
- XSS Stored(存储型 XSS)
- CSP Bypass(内容安全策略绕过)
- JavaScript(JavaScript 攻击)
先装好环境,下一篇开始讲暴力破解。