xvwa

XVWA 是一个用 PHP/MySQL 编写的编码错误的 Web 应用程序，可帮助安全爱好者学习应用程序安全性。不建议在线托管此应用程序，因为它被设计为“非常容易受到攻击”。我们建议将此应用程序托管在本地/受控环境中，并使用您自己选择的任何工具来提高您的应用程序安全忍者技能。侵入或侵入此系统是完全合法的。我们的想法是以最简单、最根本的方式向社区宣传 Web 应用程序安全性。为了良好的目的而学习和掌握这些技能。您如何使用这些技能和知识库不是我们的责任。

XVWA 旨在了解以下安全问题。

• SQL注入——基于错误
• SQL注入——盲注
• 操作系统命令注入
• XPATH 注入
• 配方奶注射
• PHP 对象注入
• 无限制文件上传
• 反射跨站脚本
• 存储的跨站脚本
• 基于 DOM 的跨站脚本
• 服务器端请求伪造（跨站点端口攻击）
• 文件包含
• 会话问题
• 不安全的直接对象引用
• 缺少功能级别访问控制
• 跨站请求伪造 (CSRF)
• 密码学
• 未经验证的重定向和转发
• 服务器端模板注入

祝你好运，黑客快乐！

不要在实时或生产环境中托管此应用程序。 XVWA 是完全易受攻击的应用程序，在线/实时访问该应用程序可能会导致您的系统完全受到损害。我们对任何此类不良事件不承担任何责任。注意安全！

本作品已获得 GNU 通用公共许可证版本 3 的许可。要查看此许可证的副本，请访问 http://www.gnu.org/licenses/gpl-3.0.txt

XVWA 设置起来毫无麻烦。您可以在 Windows、Linux 或 Mac 上进行设置。以下是您应该在 Apache-PHP-MYSQL 环境中执行此操作的基本步骤。可以是 WAMP、XAMP 或您喜欢使用的任何内容。

将 xvwa 文件夹复制到您的 Web 目录中。确保目录名称仍然是xvwa本身。在 xvwa/config.php 中对数据库连接进行必要的更改。下面的例子：

 $ XVWA_WEBROOT = '' ;  
$ host = " localhost " ; 
$ dbname = ' xvwa ' ;  
$ user = ' root ' ; 
$ pass = ' root ' ;

请注意，mysql 5.7 及以上版本需要 sudoer 才能访问 root 用户。这意味着 apache 用户将无法使用“root”用户名访问数据库。在这种情况下，需要创建一个新的用户名，并且还需要相应地更改 config.php 文件。

在 PHP 配置文件中进行以下更改

file_uploads = on 
allow_url_fopen = on 
allow_url_include = on 

XVWA 可通过 http://localhost/xvwa/ 访问

在此处设置或重置数据库和表 http://localhost/xvwa/setup/

登录详细信息

admin:admin
xvwa:xvwa
user:vulnerable

我编写了一个小脚本来轻松自动化 Linux 发行版中的 XVWA 设置。如果在您的 Linux 环境中找不到，请使用root运行此命令来安装依赖项

https://github.com/s4n7h0/Script-Bucket/blob/master/Bash/xvwa-setup.sh

我还看到发布了多个用于设置 XVWA 的 docker。我们对他们所有人表示感谢。任何 docker 爱好者也可以查看下面的作品。 https://github.com/tuxotron/xvwa_lamp_container

@knoself 在最小的 Ubuntu 服务器 14.04.x 上制作了 XVWA live ISO（issue27） https://mega.nz/#!4bJ2XRLT!zOa_IZaBz-doqVZz77Rs1tbhXuR8EVBLOHktBGp11Q8

 User = xvwa
Pass = toor

XVWA 特意设计了许多安全缺陷和足够的技术基础来提高应用程序安全知识。整个想法是为了宣传 Web 应用程序安全问题。请告诉我们您的改进建议或您希望在 XVWA 未来版本中看到的任何更多漏洞。

• @s4n7h0 https://twitter.com/s4n7h0
• @samanL33T https://twitter.com/samanl33t