1.DVWA
作为新手,通常第一个听说的靶场应该就是DVWA,部署简单安装完对应版本的PAM(PHP-Apache-MySQL),简单配置后就可以使用。
1、DVWA靶场可测试漏洞:暴力破解(Brute Force)、命令注入(Command Injection)、跨站请求伪造(CSRF)、文件包含(File Inclusion)、文件上传(File Upload)、不安全的验证码(Insecure CAPTCHA)、SQL注入(SQL Injection)、SQL盲注(SQL Injection Blind)、反射型跨站脚本攻击(XSS Reflected)、存储型跨站脚本攻击(XSS Stored)
2、包含了众多常见的Web漏洞,页面十分精简,将各种不同业务环境下的漏洞,抽象出来总结成一个集成靶场,使用起来也很方便,并且每个漏洞页面都可以查看目前的源码,在一定程度上可以提升、熟练代码的审计能力。
3、靶场包含四个等级从易到难分别为:Low、Medium、High、Impossible。
下图标出的分别为上述所说的漏洞页面、查看源码功能、漏洞等级。
总结:环境安装简单、网上可查询资料多、可直接查看源码学习方便、不同等级梯度更加有利于掌握漏洞,作为新手学习和了解常见web漏洞非常合适,在平时写程序也是可以借鉴相关部分的代码。但只有php语言相关漏洞,只包含了常见web漏洞。
2、OWASP Broken Web Applications Project
靶场在官网下载后可以直接在vm中打开,使用root