dvwa

https://www.freebuf.com/tag/dvwa
DVWA（Damn Vulnerable Web Application）是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用，旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好的理解web应用安全防范的过程。

DVWA共有十个模块，分别是

Brute Force（暴力（破解））

Command Injection（命令行注入）

CSRF（跨站请求伪造）

File Inclusion（文件包含）

File Upload（文件上传）

Insecure CAPTCHA（不安全的验证码）

SQL Injection（SQL注入）

SQL Injection（Blind）（SQL盲注）

XSS（Reflected）（反射型跨站脚本）

XSS（Stored）（存储型跨站脚本）

需要注意的是，DVWA 1.9的代码分为四种安全级别：Low，Medium，High，Impossible。初学者可以通过比较四种级别的代码，接触到一些PHP代码审计的内容。

Damn Vulnerable Web Applications (DVWA): 基于PHP, Apache以及MySQL，需要安装到本地。

OWASP WebGoat: J2EE web 应用程序，需要在本地运行。

Hack This Site:在线学习渗透测试的网站。

Testfire: 在线学习渗透测试的网站。

DVWA是一个基于php的网络安全练习的环境，也就是可以用来练习hacker技术的地方，无须自己找个网络下手或者搭建安全环境来练习网络攻防了。DVWA也是一个对网上常见的漏洞的入门的平台，有sql注入、XXS跨站等等，即使不做hacker，即使只是个小小的网页程序猿，也可以用来学习和实践下网络常见的攻防，DVWA将对你大有裨益。