YuvdeepBharjana/DVWA-Penetration-Testing-Project

# DVWA 渗透测试项目 # DVWA 渗透测试实验室 使用通过 Docker 在本地运行的 Damn Vulnerable Web Application (DVWA) 进行自主实战 Web 漏洞评估。该项目在一夜之间构建完成，旨在展示与客户端软件渗透测试相关的基础攻击性安全技能。 ## 环境与设置 - **DVWA**: 官方 `digininja/DVWA` Docker 镜像 + compose - **URL**: http://localhost:8080 - **安全级别**: Low (用于清晰的漏洞演示) - **数据库**: MariaDB (容器化) - **使用工具**: 浏览器 (手工测试), 截图工具 快速设置回顾: 1. 在 DVWA 源文件夹中运行 `docker compose up -d` 2. 浏览器访问 → http://localhost:8080 → 设置 DVWA → 创建/重置数据库 3. 登录: admin / password 4. DVWA 安全 → Low ## 演示的漏洞 在 Low 安全级别下利用的三个常见 OWASP Top 10 Web 漏洞: 1. **SQL Injection** - Payload: `' OR 1=1 -- -` (导出所有用户), `' UNION SELECT user, password FROM users -- -` (提取 MD5 哈希) - 影响: 生产环境中可能导致完整数据库暴露 - OWASP: A03:2021 – Injection - 截图: [/screenshots/sqli/](./screenshots/sqli/) 2. **Reflected Cross-Site Scripting (XSS)** - Payload: `` - 影响: 潜在的会话劫持、钓鱼攻击或客户端代码执行 - OWASP: A07:2021 – 识别和身份验证失败 (不 – Cross-Site Scripting) - 截图: [/screenshots/xss/](./screenshots/xss/) 3. **Command Injection** - Payload: `127.0.0.1 && whoami`, `127.0.0.1 && ls /var/www/html` - 影响: 服务器上的远程代码执行 (在后端应用中至关重要) - OWASP: A03:2021 – Injection (OS Command Injection 子类别) - 截图: [/screenshots/command-injection/](./screenshots/command-injection/) ## 交付成果 - **完整报告 (PDF)**: [Yuve_DVWA_PenTest_Report.pdf](./Yuve_DVWA_PenTest_Report.pdf) – 包含 PoC、影响分析和修复建议 - **原始 Markdown 报告**: [/lab-report/DVWA_Lab_Report.md](./lab-report/DVWA_Lab_Report.md) - **截图**: 按漏洞分类整理在 [/screenshots/](./screenshots/) 中 - **环境搭建证明**: [/screenshots/setup/](./screenshots/setup/) ## 关键收获与后续步骤 本实验室展示了以下能力: - 以合乎道德的方式搭建易受攻击的环境 - 执行手工侦察与漏洞利用 - 结合截图清晰地记录发现 - 提出基础修复建议 构建于 2026 年 2 月 17–18 日，旨在为协助进行真实的客户端漏洞评估做主动准备。 欢迎反馈 – 乐意迭代改进或尝试更复杂的级别/工具。

标签：CISA项目, DNS 反向解析, Docker, DVWA, MariaDB, OWASP Top 10, PNNL实验室, Web安全, XSS跨站脚本攻击, 反取证, 命令注入, 安全评估, 安全防御评估, 实战笔记, 恶意输入, 漏洞复现, 网络安全, 网络安全审计, 蓝队分析, 请求拦截, 防御修复, 防御加固, 隐私保护, 靶场演练