想学习安全测试，但没有环境，又不能去网上乱搞，是不是很头大，今天博主就教你搭建一个自己的安全测试环境——DVWA

DVWA 全名叫Damn Vulnerable Web Application，是一个基于PHP/MYSQL的web应用。专门就是为了帮助安全测试人员去学习与测试工具用的。就是搞了一个应用，有各种各样的漏洞，专门让你用来联系安全测试的。简直太适合初学者了有没有。

下载

那么首先我们需要搭建PHP/MYSQL的环境，很简单，用xampp就好了，我是超链接。

然后我们下载DVWA的应用包，点我。

这里要提醒你，因为这个应用充满了各种漏洞，不要在本机上直接安装，否则你的电脑被黑了可不要怪我。

不能在本机上装，那就用虚拟机呗，安装VMware，再装个XP系统，我们的准备活动就差不多了。

安装

1. 在虚拟机里，解压xampp并安装，非常简单，装好直接就打开了主面板。
2. 解压dvwa，改名为dvwa并放在：“[xampp安装目录]\htdocs\”目录下
3. 修改“[xampp目录]\htdocs\dvwa\config\config.inc.php”里面连接MySQL数据库的密码、端口（xampp默认MySQL用户名密码是root/root，默认端口是3306）
   
4. 启动xampp的Apache和MySQL服务
5. 获取虚拟机IP，并通过“http://[虚拟机IP]:80/dvwa”进入dvwa的安装界面
6. 点击【Create / Reset Database】创建dvwa数据库。创建成功后会自动跳转到登录页面。
   
7. 默认登录账号密码见上图，是【admin/password】登录。
8. 登录后可见到界面如下图所示，左侧列表列出了dvwa所支持的漏洞种类，共10种，【DVWA Security】中可以设置dvwa的漏洞级别，有【Low、Medium、High、Impossible】四个级别。
   
9. 到这里dvwa就已经装好了，你可以用它来练习了。

漏洞类型

DVWA一共支持10种漏洞类型，包括：

• Brute Force（暴力破解）
• Command Injection（命令行注入）
• CSRF（跨站请求伪造）
• File Inclusion（文件包含）
• File Upload（文件上传）
• Insecure CAPTCHA（不安全的验证码）
• SQL Injection（SQL注入）
• SQL Injection(Blind)（SQL盲注）
• XSS(Reflected)（反射型跨站脚本）
• XSS(Stored)（存储型跨站脚本）

漏洞级别

DVWA可以设置漏洞的级别，一共有四种：

• Low （这个级别的漏洞没有做任何安全方面的措施）
• Medium （这个级别做了一点简单的安全防护，但是不够严格）
• High （这个级别比Medium要高，做了不错的安全防护，但也还是有漏洞可钻）
• Impossible （这个级别的安全措施就严格多了，基本上你是会被堵死了，这个级别一般可以给开发人员用来对比自己的代码来学习，看看人是怎么防护这种漏洞的）

这么说来，这个DVWA不仅仅对安全测试人员有用，开发人员也可以用它来学习漏洞防护。

好了，DVWA装好了，用它来练习你的技能吧。