010107DVWA安全

7-1Web安全-实验环境介绍

1. DVWA介绍

Web应用程序(DVWA)是一个PHP/MySQL Web应用程序。它的主要目标是帮助安全专业人员在合法环境中测试他们的技能和工具，帮助web开发人员更好地理解保护web应用程序的过程，并帮助教师/学生在教室环境中教授/学习web应用程序安全性

DVWA - Damn Vulnerable Web Application

2. DVWA实验环境操作

默认情况下，DVWA系统登陆的用户admin，密码password.

3. DVWA参考文档

在DVWA实验环境中，具有对DVWA的实验内容的参考文档。

4. DVWA切换难度操作

DVWA环境中可以通过DVWA Security难度按钮，切换不同的难度。

7-3Web安全-DVWA介绍

DVWA的目的是实践一些最常见的Web漏洞，具有各种各样的困难级别。

DVWA还包括一个Web应用防火墙（WAF），PHPID，它可以在任何阶段启用，以进一步增加难度。这将演示如何添加另一层安全性可以阻止某些恶意行为。注意，也有各种公共方法绕过这些保护（因此，这可以看作是对更高级用户的扩展）！在每个页面的底部都有一个帮助按钮，它可以让您查看该漏洞的提示和提示。还有更多的链接用于进一步的背景阅读，这涉及到安全问题。

注意：不要上传到您的主机提供商的公共HTML文件夹或任何面向Internet的服务器，因为它们将受到损害。建议使用虚拟机（如VirtualBox或VMware），将其设置为NAT联网模式。在客户机内部，可以下载和安装Web服务器和数据库的XAMPP。

More Training Resources
http://www.itsecgames.com/
https://sourceforge.net/projects/mutillidae/files/mutillidae-project/
https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project

DVWA instruction介绍

DVWA instruction介绍

 DVWA Set/Reset DB 介绍

什么情况下使用Create/Reset DB?

当测试的操作改变程序数据库时，需要使用这个功能重置数据库。

 DVWA Security介绍

什么情况下使用 Security?

当需要修改当前DVWA的级别时。
例：修改当前DVWA级别为Low.

配置默认级别为Low (config/config.inc.php)

DVWA Security介绍

启动PHPIDS（入侵检测系统）

 DVWA Info介绍

DVWA About介绍

比较好的参考网站https://blog.g0tmi1k.com/

DVWA Logout介绍

7-4Web安全-暴力破解【Low级别】

7-5Web安全-暴力破解【medium级别】

7-6Web安全-暴力破解【high级别】

7-7Web安全-暴力破解【impossible级别】

7-8Web安全 - 命令执行（low级别）

7-9Web安全 - 命令执行（medium级别）

7-10Web安全 - 命令执行（high级别）

7-11Web安全 - 命令执行（impossible级别）

7-12Web安全 - CSRF（low级别）

7-13Web安全 -CSRF（medium级别）

7-14Web安全 - CSRF(high级别)

7-15Web安全 - CSRF(impossible级别)

7-16Web安全 - 文件包含（low级别）

7-17Web安全 - 文件包含（medium级别）

7-18Web安全 - 文件包含（high级别）

7-19Web安全 - 文件包含（impossible级别）

7-20Web安全 - 文件上传（low级别）

7-22Web安全 - 文件上传（high级别）

7-23Web安全 - 文件上传（impossible级别）

7-24Web安全 - SQL注入（全级别）

7-25Web安全 - 盲注（全级别）

7-26Web安全 - 反射XSS（全级别）

7-27Web安全 - 存储XSS（全级别）

7-28Web安全 - DOM XSS(全级别)

7-29Web安全 - Weak Session ID(全级别)