1. 簡介
DVWA官網中的解釋是:Damn Vulnerable Web App (DVWA) is a PHP/MySQL web application that is damn vulnerable. Its main goals are to be an aid for security professionals to test their skills and tools in a legal environment, help web developers better understand the processes of securing web applications and aid teachers/students to teach/learn web application security in a class room environment.
大致意思爲:DVWA(Damn Vulnerable Web Application)是一個用來進行安全脆弱性鑑定的PHP/MySQL Web應用,旨在爲安全專業人員測試自己的專業技能和工具提供合法的環境,幫助web開發者更好的理解web應用安全防範的過程。
DVWA主要分爲10個功能模塊:
- Brute Force(暴力破解)
- Command Injection(命令行注入)
- CSRF(跨站請求僞造)
- File Inclusion(文件包含)
- File Upload(文件上傳)
- Insecure CAPTCHA(不安全的驗證碼)
- SQL Injection(SQL注入)
- SQL Injection(Blind)(SQL盲注)
- XSS(Reflected)(反射型跨站腳本)
- XSS(Stored)(存儲型跨站腳本)
同時,DVWA的每個模塊代碼都包含四個安全等級:Low,Medium,High,Impossible。
我們可以查看每個安全等級的源碼,從而接觸到一些代碼審計的內容。