23h51a6262/Web-Application-Security-Assessment-using-DVWA

# 🔐 VAPT 实验室 – Web 应用安全评估 (DVWA) 概述 本项目展示了对托管在 Metasploitable 2 上的一个包含故意漏洞的 Web 应用程序 (DVWA) 进行的漏洞评估和渗透测试 (VAPT)。 目标是在受控环境中识别、利用和分析常见的 Web 漏洞。 ## 🎯 目标 * 识别 SQL Injection 漏洞 * 执行基于 UNION 的 SQL Injection 攻击 * 利用 Command Injection 进行权限提升 * 演示 Cross-Site Scripting (XSS) * 执行网络扫描和漏洞评估 ## 🛠️ 使用的工具 * Kali Linux * Metasploitable 2 * DVWA (Damn Vulnerable Web Application) * Nmap * Nikto * VirtualBox ## 🧪 实验环境设置 * 攻击机：Kali Linux * 目标机：Metasploitable 2 * 网络：Host-Only Adapter ## 🔍 关键实验 ### 1. 网络扫描 ``` nmap -A 192.168.56.101 ``` ### 2. SQL Injection (基于 UNION) ``` 1' UNION SELECT user, password FROM users# ``` ### 3. Command Injection ``` 127.0.0.1; whoami ``` ### 4. Cross-Site Scripting (XSS) ``` ``` ### 5. 漏洞扫描 ``` nikto -h http://192.168.56.101 ``` ## 📊 结果 * 通过 SQL Injection 提取数据库信息 * 实现了远程命令执行 * 演示了存储型和反射型 XSS * 识别了配置不当的服务 ## 🛡️ 安全建议 * 使用预处理语句 (Prepared Statements) * 验证并过滤输入 * 禁用不必要的服务 * 定期应用安全补丁 * 使用 Web Application Firewalls ## 📸 截图 * Nmap 扫描结果 * SQL Injection 输出 * XSS 警告 * 命令执行 ## 📚 学习成果 * 实践渗透测试 * 理解现实世界的漏洞 * 安全工具的实际应用 * 攻击方法论与缓解措施 作者 Y.Pragnavi 网络安全专业学生

标签：AES-256, API密钥检测, AppImage, CISA项目, CTI, DVWA, Metasploitable, Nikto, Nmap, OPA, PNNL实验室, RCE, UNION注入, VAPT, WAF, Web安全, Web应用防火墙, XSS, 云存储安全, 协议分析, 命令注入, 数字取证, 数据提取, 权限提升, 渗透测试报告, 漏洞情报, 漏洞评估, 演示模式, 网络安全实验, 网络安全项目, 网络扫描, 自动化脚本, 蓝队分析, 虚拟驱动器, 跨站脚本攻击, 输入验证, 远程命令执行, 靶场