DVWA (Dam Vulnerable Web Application)是用PHP+Mysql編寫的一套用于常規WEB漏洞教學和檢測的WEB脆弱性測試程序。包含了SQL注入、XSS、盲注等常見的一些安全漏洞。

DVWA是一個很容易受到攻擊的PHP+MySQL的Web應用程序。其主要目標是幫助安全專業人員在法律環境中測試他們的技能和工具，幫助Web開發人員更好地了解保護Web應用程序的過程，并幫助學生和教師了解受控類中的Web應用程序安全性房間測試環境。

由于是本地搭建真實web漏洞網站，我就以Windows系統來操作了！

一、DVWA 下載

下載地址：https://github.com/ethicalhack3r/DVWA

二、DVWA 安裝

在安裝前，需要做一個準備工作，我們先去做一個PHP+Mysql的環境搭建。

1、下載、安裝、啟動phpstudy（www.phpstudy.net）。

phpStudy是一個PHP調試環境的程序集成包。恰好我們可以用到"PHP+Mysql+Apache"。

2、將下載的DVWA解壓到phpstudy網站根目錄下。

例如：我這解壓后的路徑是“F:phpStudyWWWDVWA”。

3、將 config.inc.php.dist 復制一份或重命令為  config.inc.php；

例如：我的配置文件路徑是“F:phpStudyWWWDVWAconfig”。

4、修改 config.inc.php 里代碼如下：

$_DVWA[ 'db_server' ]   = '127.0.0.1'; #數據庫地址
$_DVWA[ 'db_database' ] = 'dvwa'; #數據庫名稱
$_DVWA[ 'db_user' ]     = 'root'; #數據庫用戶名
$_DVWA[ 'db_password' ] = 'root'; #數據庫密碼

因為phpstudy默認的mysql數據庫地址是“127.0.0.1 或 localhost"，用戶名和密碼都是"root"。主要是修改’db_password‘為root，這里很重要，修改后自然是需要保存文件的，這個不用說相信大家也能知道。

三、DVWA 使用

使用其實也沒什么可多說的，也非常的簡單，只有以下幾個步驟：

1、設置或重置數據庫

瀏覽器只需要直接打開“http://127.0.0.1/dvwa/setup.php”即可！如果有”標紅“提示，可能你要打開一些模塊或做一些設置，否則有些是不能實驗的，例如：文件包含、文件上傳漏洞。

2、登陸

瀏覽器打開”http://127.0.0.1/dvwa/login.php“登陸。默認用戶名：admin，默認密碼：password；

3、設置程序安全級別

瀏覽器打開”http://127.0.0.1/dvwa/security.php“來做設置，分別有”低、中、高、不可能“，程序安全級別越低，說明越容易被攻破，沒有做任何的安全防護。主要是用來自我挑戰不同等級的程序防護級別的！

總結：

上圖是我本地瀏覽器打開的效果圖，可以清楚的看到DVWA包含了以下具體的漏洞：暴力破解、命令注入、CSRF、文件包含、上傳文件、驗證碼、SQL普通注入、SQL盲注、弱session、XSS、安全策略（CSP）繞過、JavaScript攻擊。