记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Xtreme Vulnerable Web Application (XVWA)

2015-10-25 21:20

0x00简介

Xtreme Vulnerable Web Application (XVWA)是一款使用PHP/MySQL编写能模拟许多安全漏洞的Web应用程序,用来帮助安全爱好者学习Web应用程序安全性。在线对外提供这个Web应用程序是不明智的,因为它在设计时就是一个“漏洞百出的Xtreme”程序,我们建议你将这个Web应用程序部署在本地可控的服务器上,然后来测试练习并提高你的安全技能,这样完全合法的攻击侵入。当然在学习并掌握这些知识后,希望大家能够积极的在评论区交流经验,帮助更多的安全爱好者。记住:不要做非法的事,你如何使用这些技能和知识并不是我们的责任。

Xtreme Vulnerable Web Application (XVWA)-安全盒子

 

0x01 XVWA设计的目的是为了理解以下安全问题

基于错误的sql注入
sql盲注
操作系统命令注入
XPATH注入
不受限制的文件上传漏洞
反射性XSS
储存性XSS
基于DOM的XSS
服务器端请求伪造
文件包含漏洞
Session安全问题
不安全的对象直接引用
缺失性功能级别的访问控制
跨站请求伪造(CSRF)
密码安全问题
用户重定向和转发
服务器端模板注入

开启你有趣的黑客之路吧 : P

0x02用法说明

XVWA采用一站式安装,你可以在windows, linux 或 Mac平台下进行设置,为了能正常使用XVMA你需要按以下几个步骤配置Apache-PHP-MYSQL环境,这里我们使用的是XAMP,当然,你也可以自己选择喜欢的集成包。

将xvwa文件复制到你的web目录,确保目录名依旧为xvwa,在xvwa/config.php文件中对数据库连接进行必要的修改,如下面例子:

$XVWA_WEBROOT = '';  
$host = "localhost";  
$dbname = 'xvwa';  
$user = 'root';  
$pass = 'root';

在PHP配置文件中进行修改:

file_uploads = on  
allow_url_fopen = on 
allow_url_include = on

访问应用:

http://localhost/xvwa/

设置数据库和表单:

http://localhost/xvwa/setup/

登录细节:

admin:admin 
xvwa:xvwa 
user:vulnerable

0x03免责申明

因为XVMA是一个存在许多漏洞的Web应用程序,对外在线开启XVWA的访问可能会导致你的系统被入侵和破坏,由此产生的一切后果自行负责。注意安全性!

0x04版权

该项目工作已经获得了GNU通用公共许可证版本3的授权。

查看本许可证的副本,请访问http://www.gnu.org/licenses/gpl-3.0.txt

0x05相关说明

XVWA是特意设计具有许多安全漏洞,通过足够多的技术来提升你应用安全技能的Web程序。创建这个项目的初衷纯粹是为了引起对web应用程序安全问题的重视。务必让我们知道你的改进建议,也希望你能为未来的XVWA版本提供任何更多的漏洞。

项目作者:

@s4n7h0 

@samanL33T 

0x06下载,请点击

 

知识来源: www.secbox.cn/hacker/7508.html

阅读:157341 | 评论:0 | 标签:工具分享 渗透测试 黑客 XVWA

想收藏或者和大家分享这篇好文章→复制链接地址

“Xtreme Vulnerable Web Application (XVWA)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词