DVWA high level是不可被攻破的

详细说明：http://webguvenligi.org/dergi/DamnVulnerableWebApp-Aralik2009-RyanDewhurst.pdf

High: This vulnerability level gives the user an example of how to secure the
vulnerability via secure coding methods. It lets the user understand how the
vulnerability can be counter measured. This level of security should be un-hackable
however as we all know this is not always the case. So if you manage to bypass it, let
us know.

Shit！

DVWA学习-File Upload-Level Low

File Upload

文件上传

这个DVWA的文件上传没有做任何过滤，直接上传个PHP马就可以了，太简单了，不截上传成功后的图了~~

DVWA学习-Stored Cross Site Scripting (XSS)-Level Low

Stored Cross Site Scripting (XSS)

存储型跨站，这种跨站方式是将js脚本提交到服务器，并在数据库或其他介质中进行存储，用户请求的时候从服务器下发该脚本。

提交个跨站脚本，如下图所示：

提交成功之后，刷新页面！

DVWA学习-SQL Injection-Level Low

SQL Injection

SQL注入攻击，又是一个简单问题。直接上结果吧！

还是直接上代码吧，感觉DVWA LOW的题目实在是太简单了，我应该从中级开始做才好~~~

<?php     

if(isset($_GET['Submit'])){ 
     
    // Retrieve data 
     
    $id = $_GET['id']; 

    $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'"; 
    $result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' ); 

    $num = mysql_numrows($result); 

    $i = 0; 

    while ($i < $num) { 

        $first = mysql_result($result,$i,"first_name"); 
        $last = mysql_result($result,$i,"last_name"); 
         
        echo '<pre>'; 
        echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>Surname: ' . $last; 
        echo '</pre>'; 

        $i++; 
    } 
} 
?>

很明显的SQL注入漏洞，啥都不说了~~注释符号都不用加~~

DVWA学习-File Inclusion-Level Low

File Inclusion

文件包含漏洞

这个漏洞太常见了，实验也挺简单的。

原来的页面是通过一个参数来显示的，?page=index.php，那么这样就可以通过修改index.php来控制要读取并显示的内容，比如显示/etc/passwd文件，可以使用../../../../../../../../../../etc/passwd，这样

源代码也很简单，就是一行代码；

<?php 

    $file = $_GET['page']; //The page we wish to display  

?>

一	二	三	四	五	六	日
« 3月
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30