freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

初学者福利:XVWA黑客靶场发布 金币
2015-10-24 16:00:39

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

简介

Xtreme Vulnerable Web Application (XVWA)是一款使用PHP/MySQL编写的靶场,可以帮助初学者快速学习安全姿势。

我们建议将这个靶场部署在本地服务器来提升你的能力。当然了学习并掌握这些姿势后,还望各位能够积极的在评论区交流经验,帮助更多的朋友。

XVWA中包含的漏洞

SQL Injection – Error Based
SQL Injection – Blind
OS Command Injection
XPATH Injection
Unrestricted File Upload
Reflected Cross Site Scripting
Stored Cross Site Scripting
DOM Based Cross Site Scripting
Server Side Request Forgery (Cross Site Port Attacks)
File Inclusion
Session Issues
Insecure Direct Object Reference
Missing Functional Level Access Control
Cross Site Request Forgery (CSRF)
Cryptography
Unvalidated Redirect & Forwards
Server Side Template Injection

指令

XVWA采用一站式安装,你可以在windows, linux 或 Mac平台下进行设置,为了能正常使用XVMA你需要按以下几个步骤配置Apache-PHP-MYSQL环境,这里我们使用的是XAMP,你也可以自己选择喜欢的集成包。

将xvwa文件复制到你的web目录,确保目录名依旧为xvwa。

在xvwa/config.php文件中对数据库连接进行必要的修改,如下面例子:

$XVWA_WEBROOT = '';  
$host = "localhost";  
$dbname = 'xvwa';  
$user = 'root';  
$pass = 'root';

在PHP配置文件中进行修改:

file_uploads = on  
allow_url_fopen = on 
allow_url_include = on

通过http://localhost/xvwa/  访问应用

进入http://localhost/xvwa/setup/  设置数据库和表单

登录细节:

admin:admin 
xvwa:xvwa 
user:vulnerable

免责申明

因为XVMA存在许多漏洞,请不要将XVWA部署在生产环境之中。由此产生的后果请自行负责。

版权

该项目已获取创作共用署名4.0许可协议。

下载

链接:http://pan.baidu.com/s/1hq97I76 密码:jm4j

* 参考来源:github,编译/FB小编鸢尾,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文作者:, 转载请注明来自FreeBuf.COM

# php # mysql # XVWA
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑