1. DVWA 介绍

1.1 DVWA简介

DVWA是一款基于PHP和mysql开发的web靶场练习平台，集成了常见的web漏洞如sql注入,xss，密码破解等常见漏洞。旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好的理解web应用安全防范的过程。

1.2 DVWA模块

DVWA共有十个模块：

1. Brute Force（暴力（破解））
2. Command Injection（命令行注入）
3. CSRF（跨站请求伪造）
4. File Inclusion（文件包含）
5. File Upload（文件上传）
6. Insecure CAPTCHA （不安全的验证码）
7. SQL Injection（SQL注入）
8. SQL Injection（Blind）（SQL盲注）
9. XSS（Reflected）（反射型跨站脚本）
10. XSS（Stored）（存储型跨站脚本）

1.3 DVWA 安全级别

一般情况下，DVWA一共有四种安全级别，分别为：

Low、Medium、High、Impossible

2. DVWA搭建

2.1 下载并安装phpstudy

phpStudy是集成了Apache和MySql的集成环境

下载官网：https://www.xp.cn/

链接：https://pan.baidu.com/s/1OZMNupI-8EJuzHOIZZx7uQ

提取码：1111

下载完成后打开Apache+MySQL功能

安装好之后如下图所示：



启动之后，在浏览器地址栏输入127.0.0.1，如下图所示（不同的版本会有所不同）：

2.2 下载DVWA

下载官网：http://www.dvwa.co.uk/

链接：https://pan.baidu.com/s/17LNfT7evPIiqsmlrFKVQvA

提取码：1111

将下载好的DVWA文件解压到PHP study的WWW目录下，如下所示：



解压后进入DVWA下的config文件，拷贝一份config.inc.php .dist文件，去掉.dist后缀，打开config.inc.php文件，把此处改为自己的mysql用户名和密码。



然后打开:http://127.0.0.1/DVWA-master/DVWA-master/setup.php（注意修改为自己的路径），点击下面的按钮，这样就会创建数据库了，如下图所示：



创建好后自动跳转到了登陆首页

默认账号密码admin/password

登录之后，如下图所示：



尝试SQL注入，如下图所示：