环境说明

• 操作系统：Windows 10
• PHPStudy 版本: 8.1.1.3
• Apache 版本：2.4.39
• MySQL 版本 5.7.26

1 DVWA 简介

DVWA（Damn Vulnerable Web App）是一个基于 “PHP + MySQL” 搭建的Web应用程序，皆在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助Web开发者更好地理解Web应用安全防范的过程

DVWA 一共包括十个模块：

（1）Bruce Force，暴力破解。

（2）Command Injection，命令注入。

（3）CSRF，跨站请求伪造。

（4）File Inclusion，文件包含。

（5）File Upload，文件上传漏洞。

（6）Insecure CAPTCHA，不安全的验证。

（7）SQL Injection，SQL注入。

（8）SQL Injection（Blind），SQL注入（盲注）。

（9）XSS（Reflected），反射型XSS。

（10）XSS（Stored），存储型XSS。

每个模块包含四种难度等级：Low、Medium、High、Impossible，通过从低难度到高难度的测试，并参考代码的变化，可帮助读者更快地理解漏洞的原理。

2 DVWA 安装

从 DVWA 中下载DVWA 安装包 DVWA-master.zip ，首先安装好 PHPStudy 或其他集成环境，其步骤如下：

步骤01、

启动PHPStudy平台的Apache和MySQL服务，如图所示。

步骤02、

将DVWA-master.zip文件解压并将文件名修改为dvwa，将文件复制到PHPStudy平台的\phpstudy\www 目录下，如图所示。

步骤03、

将dvwa/config/ 目录下的文件config.inc.php.dist 复制一份，并重命名为config.inc.php，并将$_DVWA[‘db_password’] 设置为 root、$_DVWA[‘db_user’] 设置为 root、$_DVWA[‘db_port’] 设置为3306，如图所示。

步骤04、

在浏览器中访问http://localhost/dvwa，进入DVWA的安装界面，如图所示。

步骤05、

单击create/reset database 按钮，执行结果如图所示，表示安装成功。

步骤06、

安装程序自动跳转到DVWA的登录界面，单击login 打开登录界面，默认的账号信息为：Username：admin；Password：password，输入账号密码，如图所示。

步骤07、 单击Login 按钮，登录成功，如图所示。