初学者福利：XVWA黑客靶场发布

简介

Xtreme Vulnerable Web Application (XVWA)是一款使用PHP/MySQL编写的靶场，可以帮助初学者快速学习安全姿势。

我们建议将这个靶场部署在本地服务器来提升你的能力。当然了学习并掌握这些姿势后，还望各位能够积极的在评论区交流经验，帮助更多的朋友。

XVWA中包含的漏洞

SQL Injection – Error Based SQL Injection – Blind OS Command Injection XPATH Injection Unrestricted File Upload Reflected Cross Site Scripting Stored Cross Site Scripting DOM Based Cross Site Scripting Server Side Request Forgery (Cross Site Port Attacks) File Inclusion Session Issues Insecure Direct Object Reference Missing Functional Level Access Control Cross Site Request Forgery (CSRF) Cryptography Unvalidated Redirect & Forwards Server Side Template Injection

指令

XVWA采用一站式安装，你可以在windows, linux 或 Mac平台下进行设置，为了能正常使用XVMA你需要按以下几个步骤配置Apache-PHP-MYSQL环境，这里我们使用的是XAMP，你也可以自己选择喜欢的集成包。

将xvwa文件复制到你的web目录，确保目录名依旧为xvwa。

在xvwa/config.php文件中对数据库连接进行必要的修改，如下面例子：

$XVWA_WEBROOT = ''; $host = "localhost"; $dbname = 'xvwa'; $user = 'root'; $pass = 'root';

在PHP配置文件中进行修改：

file_uploads = on allow_url_fopen = on allow_url_include = on

通过http://localhost/xvwa/ 访问应用

进入http://localhost/xvwa/setup/ 设置数据库和表单

登录细节：

admin:admin xvwa:xvwa user:vulnerable

免责申明

因为XVMA存在许多漏洞，请不要将XVWA部署在生产环境之中。由此产生的后果请自行负责。

版权

该项目已获取创作共用署名4.0许可协议。

下载请点击阅读原文

* 参考来源：github，编译/FB小编鸢尾，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）