Damn Vulnerable Web Application (DVWA) 完全使用指南

核心功能解析

什么是DVWA及其适用场景？

Damn Vulnerable Web Application (DVWA)是一款专为安全测试设计的PHP/MySQL应用，通过故意植入的安全漏洞，帮助安全专业人士提升渗透测试技能。它提供从低级到高级的多种安全挑战，适合学习Web安全原理、测试工具使用以及漏洞利用技术。

核心文件定位指南

• 入口文件：index.php是应用的总控制台，负责加载主界面和安全挑战选择器
• 认证系统：login.php和logout.php处理用户身份验证流程
• 配置中心：config/config.inc.php.dist存储数据库连接和安全级别设置
• 漏洞模块：vulnerabilities/目录下包含SQL注入、XSS、文件上传等各类漏洞场景
• 辅助资源：dvwa/css/和dvwa/js/提供界面样式与交互逻辑支持

快速上手流程

如何获取并部署DVWA？

1. 获取代码

   git clone https://gitcode.com/gh_mirrors/dv/DVWA
   

2. 容器化启动（推荐） 项目提供Docker配置，可快速搭建独立环境：

   cd DVWA
   docker-compose up -d
   

   图：Docker Desktop中显示的DVWA容器运行状态

3. 访问应用 打开浏览器访问http://localhost，使用默认 credentials（admin/password）登录

首次使用需要注意什么？

• 登录后系统会提示配置数据库，点击"Create / Reset Database"完成初始化
• 初次使用建议从"Low"安全级别开始，逐步提升难度
• 每个漏洞模块都提供"Help"和"View Source"功能，可查看漏洞原理和代码实现

深度配置指南

如何修改数据库连接参数？

🔧 配置步骤：

1. 复制配置模板创建实际配置文件：

   cp config/config.inc.php.dist config/config.inc.php
   

2. 编辑数据库连接参数：

   $_DVWA['db_user'] = 'dvwa';         // 数据库用户名
   $_DVWA['db_password'] = 'p@ssw0rd'; // 数据库密码
   $_DVWA['db_database'] = 'dvwa';     // 数据库名称
   $_DVWA['db_host'] = 'localhost';    // 数据库地址
   

如何调整安全级别？

🔧 安全级别设置： 修改配置文件中的默认安全级别：

$_DVWA['default_security_level'] = 'low'; // 可选：low, medium, high, impossible

也可在登录后通过界面右上角的下拉菜单临时切换安全级别

安全最佳实践

⚠️ 环境隔离警告 DVWA包含已知安全漏洞，禁止在公网环境部署。推荐使用以下隔离方案：

• 本地Docker容器（如本文示例）
• 专用虚拟机（VMware/VirtualBox）
• 隔离网络环境中的独立服务器 部署前确保关闭该服务器的公网访问权限，避免被恶意利用

功能模块详解

容器运行状态监控

启动后可通过Docker Desktop查看容器运行状态，包括日志输出和资源占用：

图：DVWA容器的详细日志和状态信息

漏洞模块分类

系统提供多种常见Web漏洞练习场景，主要包括：

• 注入攻击：SQL注入（普通/盲注）、命令注入
• 跨站攻击：存储型XSS、反射型XSS、DOM型XSS
• 文件操作：文件包含、文件上传漏洞
• 认证授权：暴力破解、CSRF、会话固定
• 安全配置：CSP绕过、不安全直接对象引用

每个模块都提供不同安全级别的实现代码，方便对比学习安全防护措施的演进过程。

总结

DVWA作为Web安全学习的经典工具，通过实践导向的漏洞环境，帮助学习者深入理解Web安全原理。正确配置和使用DVWA，能够有效提升安全测试技能，但务必注意在隔离环境中使用，避免造成安全风险。随着技能提升，可尝试修改源码增加自定义漏洞场景，进一步深化安全理解。