Shreyasi-Techie/dvwa-web-application-security-assessment

GitHub: Shreyasi-Techie/dvwa-web-application-security-assessment

该项目记录了在授权实验室环境中对 DVWA 进行 Web 应用安全测试的完整流程,涵盖漏洞发现、验证、评估与修复建议。

Stars: 0 | Forks: 0

# 🔐 DVWA Web 应用安全评估 ![平台](https://img.shields.io/badge/Platform-Kali%20Linux-blue) ![目标](https://img.shields.io/badge/Application-DVWA-red) ![工具](https://img.shields.io/badge/Tools-Burp%20Suite%20%7C%20Browser-green) ![状态](https://img.shields.io/badge/Status-Completed-success) ## 概述 本仓库记录了在授权实验室环境中对 **Damn Vulnerable Web Application (DVWA)** 进行的安全测试。 本次评估的目的是了解常见的 Web 应用漏洞及其缓解措施。 ## 评估的漏洞 - SQL Injection - Cross-Site Scripting (Reflected) - Command Injection ## 实验环境 | 组件 | 详情 | |----------|---------| | 攻击者 | Kali Linux | | 目标 | DVWA | | 环境 | VirtualBox | | 测试类型 | 授权实验室 | # 测试方法 本次评估遵循结构化的测试方法: 1. 信息侦察 2. 使用 Burp Suite 拦截 HTTP 流量 3. 手动 payload 注入 4. 请求修改 5. 响应分析 6. 漏洞验证 7. 风险评估 8. 文档记录 9. 修复建议 # 关键发现 ## SQL Injection **严重程度:** 高 应用程序将用户可控的输入直接拼接到 SQL 查询中,没有进行验证或使用参数化语句。 **影响** - 身份验证绕过 - 数据库枚举 - 敏感信息泄露 - 潜在的数据库被攻陷 文档: ``` sql-injection/ ``` ## 反射型 Cross-Site Scripting (XSS) **严重程度:** 高 应用程序将未经净化的用户输入直接反射到 HTML 响应中,允许在用户浏览器中执行任意 JavaScript。 ### 演示 Payload ``` ``` ``` ``` ### 影响 - JavaScript 执行 - Session cookie 泄露 - Session 劫持 - 钓鱼攻击 - 客户端篡改 文档: ``` reflected-xss/ ``` # 展示的技能 - Web 应用安全测试 - 漏洞验证 - HTTP 请求分析 - Burp Suite Proxy 与 Repeater - 手动安全测试 - OWASP Top 10 - 安全编码意识 - 技术文档 - 漏洞报告 # 学习成果 通过本次评估,我获得了以下方面的实践经验: - 识别 Web 应用漏洞 - 理解 HTTP 请求/响应流程 - 在受控实验室环境中安全地利用漏洞 - 评估业务和技术影响 - 编写专业的安全评估报告 - 推荐安全编码实践 ### Command Injection 使用 Burp Suite 对 DVWA 的命令执行模块进行了手动测试。 执行的活动: - 捕获 HTTP POST 请求 - 修改用户可控参数 - 验证操作系统命令执行 - 执行了 `whoami` - 读取了 `/etc/passwd` - 使用 Netcat 建立了 reverse shell - 记录了利用证据 - 提出了符合安全编码实践的修复建议 ## 免责声明 测试仅在授权的教育实验室中进行。
标签:CISA项目, DVWA, Maven, Web安全, XSS, 安全测试报告, 漏洞情报, 漏洞验证, 蓝队分析