1. 前言
Web 漏洞靶场对于学习 Web 渗透来说是一个很好的选择,也可以拿来验证扫描器的的效果,下面会给出常见的 Web 漏洞靶场,以供大家学习,具体的安装和搭建过程请移步相关靶场的文章。
当然最好的学习方法就是在学习了 Web 漏洞后自己编写漏洞环境,在利用该漏洞的基础上学会修复。
2. 靶场
2.1 DVWA
2.1.1 靶场介绍
DVWA (Damn Vulnerable Web Application) 是 Web 安全入门级的靶场,用来进行安全脆弱性鉴定的 PHP/MySQL Web 应用,通过设置不同的难度来学习 Web 安全和测试安全工具。
2.1.2 项目地址
2.2 SQLi-Labs
2.2.1 靶场介绍
SQLi-Labs 是一个学习 SQL 注入的靶场环境,其中包含了 65 种 SQL 注入方式。
2.2.2 项目地址
https://github.com/Audi-1/sqli-labs
2.3 Upload-labs
2.3.1 靶场介绍
Upload-labs 是一个使用 PHP 语言编写的,专门收集渗透测试和 CTF 中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共 21 关,每一关都包含着不同上传方式。
2.3.2 项目地址
https://github.com/c0ny1/upload-labs
2.4 Vulhub
2.4.1 靶场介绍
Vulhub 是一个基于 docker 和 docker-compose 的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。
2.4.2 项目地址
2.5 VulApps
2.5.1 靶场介绍
VulApps 旨在快速搭建各种漏洞环境与安全工具环境,启动无需其它步骤,即开即用。但是在使用 VulApps 之前,我们需要掌握 Docker 的用法。
2.5.2 项目地址
2.6 Web For Pentester
2.6.1 靶场介绍
PentesterLab 提供的靶场,使用 ISO 镜像导入运行,用于了解常见的 Web 漏洞检测技术,练习涵盖了从基本错误到高级漏洞的所有内容。
2.6.2 项目地址
2.7 bWAPP
2.7.1 靶场介绍
bWAPP 是一个非常好的漏洞演示平台,集成了各种常见漏洞和最新漏洞的开源 Web 应用程序,旨在帮助安全爱好者发现和修复漏洞。
2.7.2 项目地址
https://sourceforge.net/projects/bwapp/
2.8 BWVS
2.8.1 靶场介绍
BWVS 是一个 Web 漏洞渗透测试靶场,由 BugKu 团队开发,包括很多的 Web 漏洞,偏向 CTF 类型。
2.8.2 项目地址
2.9 pikachu
2.9.1 靶场介绍
Pikachu 是一个带有漏洞的 Web 应用系统,在这里包含了常见的 Web 安全漏洞,适合 Web 渗透测试学习人员。
2.9.2 项目地址
https://github.com/zhuifengshaonianhanlu/pikachu
3. 参考内容
各个靶场的项目地址。