DVWA(Damn Vulnerable Web Application)程序源碼v1.9穩(wěn)定版

DVWA(Damn Vulnerable Web Application)是一個(gè)用來(lái)進(jìn)行安全脆弱性鑒定的PHP/MySQL Web應(yīng)用，旨在為安全專(zhuān)業(yè)人員測(cè)試自己的專(zhuān)業(yè)技能和工具提供合法的環(huán)境，幫助web開(kāi)發(fā)者更好的理解web應(yīng)用安全防范的過(guò)程。DVWA共有十個(gè)模塊，分別是：

Brute Force(暴力(破解))

Command Injection(命令行注入)

CSRF(跨站請(qǐng)求偽造)

File Inclusion(文件包含)

File Upload(文件上傳)

Insecure CAPTCHA (不安全的驗(yàn)證碼)

SQL Injection(SQL注入)

SQL Injection(Blind)(SQL盲注)

XSS(Reflected)(反射型跨站腳本)

XSS(Stored)(存儲(chǔ)型跨站腳本)

需要注意的是，DVWA 1.9的代碼分為四種安全級(jí)別：Low，Medium，High，Impossible。我們可以通過(guò)比較四種級(jí)別的代碼，接觸到一些PHP代碼審計(jì)的內(nèi)容。

DVWA上的漏洞列表

DVMA正如他的名字一樣是一個(gè)包含了很多漏洞的應(yīng)用系統(tǒng)。DVWA的漏洞包括了OWASP oepen web application security project的web 10大漏洞。DVWA里面具體包括如下這些漏洞:

1.暴力破解漏洞通過(guò)brute force登錄頁(yè)面進(jìn)入到該漏洞的測(cè)試位置。這個(gè)漏洞是用來(lái)測(cè)試暴力破解工具和展示不安全的弱密碼。

2.命令執(zhí)行漏洞在存在風(fēng)險(xiǎn)的系統(tǒng)上執(zhí)行命令。

3.CSRF偽造跨站請(qǐng)求漏洞，允許攻擊者去修改應(yīng)用的管理員密碼。

4.SQL注入，DVWA包括盲注和錯(cuò)誤型注入兩種SQL注入漏洞類(lèi)型。

5.不安全的文件上傳漏洞，允許攻擊者上傳惡意的文件到web服務(wù)器上

6.XSS跨站腳本漏洞，允許攻擊者注入他們自己的腳本到web服務(wù)器上。DVWA系統(tǒng)里面包含了反射性XSS和存儲(chǔ)型XSS兩種類(lèi)型。

7.文件包含漏洞，允許進(jìn)行本地文件包含執(zhí)行和遠(yuǎn)程文件包含執(zhí)行

8.驗(yàn)證碼繞過(guò)