一、dvwa项目介绍
dvwa是一款开源的使用PHP+mysql模拟出常见的安全测试漏洞的演练项目,可以在github找到它的项目地址
二、dvwa docker部署
docker run -d --name dvwa -p 8081:80 vnluerables/web-dvwa
- 搭建好了以后页面如下:
三、功能介绍
-
setup:比如数据库在演练过程被破坏了,可以使用这个功能进行重置
-
这里是常见的安全漏洞,比如暴力破解,命令注入,CSRF,文件包含漏洞,上传漏洞,验证码,sql注入,盲注等
四、命令注入演示
- 比如我们输入普通的值,然后点击提交
底下会返回结果
我们尝试注入恶意指令,再让系统去执行命令 - 如果你不知道去填写什么,它这边会给你2个提示
- 点击view source,可以看到漏洞模拟中,关键的代码是怎么写的,可以帮助我们去思考有什么办法可以绕过逻辑,去绕过指令
- 点击view help,会给你帮助,告诉你怎么去完成安全测试
五、安全测试等级设置
可以根据自己的能力调整安全测试的等级