简介

‍‍Xtreme Vulnerable Web Application (XVWA)是一款使用PHP/MySQL编写的靶场，可以帮助初学者快速学习安全姿势。

我们建议将这个靶场部署在本地服务器来提升你的能力。当然了学习并掌握这些姿势后，还望各位能够积极的在评论区交流经验，帮助更多的朋友。

XVWA中包含的漏洞

SQL Injection – Error Based
SQL Injection – Blind
OS Command Injection
XPATH Injection
Unrestricted File Upload
Reflected Cross Site Scripting
Stored Cross Site Scripting
DOM Based Cross Site Scripting
Server Side Request Forgery (Cross Site Port Attacks)
File Inclusion
Session Issues
Insecure Direct Object Reference
Missing Functional Level Access Control
Cross Site Request Forgery (CSRF)
Cryptography
Unvalidated Redirect & Forwards
Server Side Template Injection

指令

XVWA采用一站式安装，你可以在windows, linux 或 Mac平台下进行设置，为了能正常使用XVMA你需要按以下几个步骤配置Apache-PHP-MYSQL环境，这里我们使用的是XAMP，你也可以自己选择喜欢的集成包。

将xvwa文件复制到你的web目录，确保目录名依旧为xvwa。

在xvwa/config.php文件中对数据库连接进行必要的修改，如下面例子：

$XVWA_WEBROOT = '';  
$host = "localhost";  
$dbname = 'xvwa';  
$user = 'root';  
$pass = 'root';

在PHP配置文件中进行修改：

file_uploads = on  
allow_url_fopen = on 
allow_url_include = on

通过http://localhost/xvwa/  访问应用

进入http://localhost/xvwa/setup/  设置数据库和表单

登录细节：

admin:admin 
xvwa:xvwa 
user:vulnerable

免责申明

因为XVMA存在许多漏洞，请不要将XVWA部署在生产环境之中。由此产生的后果请自行负责。

版权

该项目已获取创作共用署名4.0许可协议。

下载

链接：http://pan.baidu.com/s/1hq97I76 密码：jm4j

* 参考来源：github，编译/ 鸢尾，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）