XVWA：kali linux中的Web应用程序黑客实验室

XVWA是一种用PHP / MySQL编写的严格编码的Web应用程序，可帮助安全爱好者学习应用程序安全性。因为它被设计为“非常脆弱”，所以不建议在线托管此应用程序。我们建议您在本地/受控环境中托管此应用程序，并使用您自己选择的任何工具来增强您的应用程序安全性忍者技能。打破或破解这是完全合法的。这个想法是将Web应用程序安全性传播给社区可能是最简单和最根本的方式。学习并掌握这些技巧以达到良好的目的。您如何使用这些技能和知识库不是我们的责任。

XVWA旨在了解以下安全问题

SQL注入 - 基于错误

SQL注入 - 盲注

OS命令注入

XPATH注入

Formula注射

PHP对象注入

无限制的文件上传

反映的跨站点脚本

存储的跨站点脚本

基于DOM的跨站脚本

服务器端请求伪造（跨站点端口攻击）

文件包含

会话问题

不安全的直接对象引用

缺少功能级访问控制

跨站请求伪造（CSRF）

加密

未经验证的重定向和转发

服务器端模板注入

如何在Kali Linux中安装xvwa

需求

PHP 5

1.下载此脚本https://github.com/s4n7h0/Script-Bucket/blob/master/Bash/xvwa-setup.sh

2.打开终端并输入

root@kali:~/Desktop# chmod +x xvwa-setup.sh

root@kali:~/Desktop# ./xvwa-setup.sh

输入sql 账户密码 and /var/www/html

3.打开Firefox并转至http：// localhost / xvwa