第1週課程
2小時
了解當前網路威脅環境
最常見的網頁安全漏洞
DVWA、bWAPP、Juice Shop
Burp Suite、SQLMap、Hydra
每39秒就有一次網路攻擊發生
2023年全球網路犯罪損失超過8兆美元
平均每次資料外洩損失445萬美元
個人隱私、企業機密、國家安全
的台灣企業曾遭受網路攻擊
2023年多家醫院遭勒索軟體攻擊
校園系統SQL注入漏洞頻傳
公部門網站遭植入惡意程式
全球最權威的網頁應用程式安全組織
每3-4年更新一次,反映最新威脅趨勢
存取控制缺陷
加密機制失效
注入攻擊
不安全設計
安全設定缺陷
易受攻擊的元件
身份驗證失效
軟體與資料完整性失效
安全記錄與監控失效
伺服器端請求偽造
安全學習:在隔離環境中練習攻擊技術
合法合規:避免對真實系統造成損害
教學目的:專為學習設計的漏洞環境
專為滲透測試學習設計的易受攻擊網頁應用程式
SQL注入、XSS、CSRF、文件上傳等
Low、Medium、High、Impossible
GitHub上可免費下載使用
支援Docker、XAMPP等環境
包含100多種網頁漏洞的測試平台
涵蓋OWASP Top 10及更多漏洞
模擬真實世界的攻擊場景
提供完整的漏洞說明與解決方案
定期新增最新的漏洞類型
現代化的易受攻擊網頁應用程式
使用Angular、Node.js等現代技術
挑戰任務與計分系統
支援多種語言介面
支援競賽模式與團隊協作
下載並安裝Docker Desktop
docker --version
拉取所需的Docker映像檔
docker pull vulnerables/web-dvwa
運行測試環境容器
docker run -d -p 80:80 vulnerables/web-dvwa
在瀏覽器中訪問測試環境
http://localhost
自動化測試,節省時間
發現手動測試難以發現的漏洞
生成詳細的測試報告
業界標準的網頁應用程式安全測試平台
攔截並修改HTTP/HTTPS流量
自動化掃描常見安全漏洞
模糊測試與暴力破解功能
豐富的插件生態系統
自動化SQL注入檢測與利用工具
自動識別SQL注入漏洞
支援各種SQL注入技術
支援MySQL、PostgreSQL、Oracle等
自動提取資料庫內容
快速的網路登入破解工具
HTTP、FTP、SSH、Telnet等
多執行緒快速破解
支援自訂密碼字典
組合式密碼生成攻擊
1. 前往 portswigger.net 下載
2. 選擇 Community Edition(免費版)
3. 安裝並設定瀏覽器代理
1. Linux: apt-get install sqlmap
2. Windows: 下載Python版本
3. 驗證: sqlmap --version
1. Linux: apt-get install hydra
2. Windows: 使用WSL或虛擬機
3. 驗證: hydra -h
DVWA 登入頁面暴力破解
Burp Suite Intruder、Hydra
密碼強度檢查、帳號鎖定機制
歡迎提出任何關於網頁安全或課程的問題