前言

DVWA（Damn Vulnerable Web Application）是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用，旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好的理解web应用安全防范的过程。

 

分类

DVWA共有十个模块，分别是： 

• SQL Injection（SQL注入） 
• SQL Injection（Blind）（SQL盲注） 
• XSS（Reflected）（反射型跨站脚本） 
• XSS（Stored）（存储型跨站脚本） 
• Brute Force（暴力（**）） 
• Command Injection（命令行注入） 
• CSRF（跨站请求伪造） 
• File Inclusion（文件包含） 
• File Upload（文件上传） 
• Insecure CAPTCHA （不安全的验证码）

需要注意的是，DVWA 的代码分为四种安全级别：Low，Medium，High，Impossible。
 

环境准备

由于DVWA是php/mysql的web应用,  所以需要搭建apace+php+mysql的运行环境

安装参考之前的blog:   服务器(或本地) Apache2+php7 网站搭建

 

安装

• github项目安装

  到apace网站的指定目录下(/var/www/html),  用命令把项目clone到本地:

git clone aaa@qq.com:ethicalhack3r/DVWA.git

• 配置文件

将 config.inc.php.dist 复制一份或重命令为  config.inc.php:

mv ./config.inc.php.dist ./config.inc.php

且将文件里面的配置作如下修改:

$_DVWA[ 'db_server' ]   = '127.0.0.1'; #数据库地址
$_DVWA[ 'db_database' ] = 'dvwa'; #数据库名称
$_DVWA[ 'db_user' ]     = 'root'; #本地数据库用户名
$_DVWA[ 'db_password' ] = '123456'; #本地数据库密码

 

使用

• 初始化数据库

打开游览器输入:

http://localhost/DVWA/setup.php

初始/重置数据库: 

• 登录使用

打开游览器输入:

http://localhost/DVAW/login.php

初始账号: admin

初始密码: password

• 难度校准

• 答案与帮助

右下角, 第一个是查看php源码; 第二个是查看答案,  所以并用不着去网上查。