网络安全圈最火的六大“漏洞网红馆，从零基础到精通，收藏这篇就够了！

盘点网络安全圈最火的六大“漏洞网红馆”

俗话说得好，要想真正玩转一个漏洞，得先把它“生”出来，再“调戏”它，最后还得“制服”它。漏洞靶场就像是网络安全界的“游乐场”，让安全人员在一个安全可控的“沙盒”里，尽情探索、评估和测试各种应用、系统或网络设备的“弱点”。通过这些“漏洞网红馆”，你可以亲身体验SQL注入、跨站脚本（XSS）、跨站请求伪造（CSRF）等漏洞的“作案”过程。

0. 前方高能预警

友情提示：在没有授权的情况下，对网站进行渗透测试可是要“吃官司”的！所以，咱们得自己搭建一个漏洞靶场，千万别直接拿公网上的目标“练手”。

而且，这些靶场里可都是“高危漏洞”，要是放在公网上，那可就成了“黑客磁铁”，吸引各路“牛鬼蛇神”前来“光顾”。所以，个人或者中小企业，强烈建议在私网环境或者受控的测试网络里搭建。

知名WEB漏洞靶场

接下来要介绍的这些“漏洞网红馆”，可都是覆盖了OWASP Top 10漏洞的“狠角色”。你可以在不同的靶场里，对同一种漏洞进行各种“姿势”的渗透尝试，保证你对WEB漏洞原理的理解“更上一层楼”。

小编之前还整理了10多篇关于WEB典型安全漏洞原理的“干货”文章，感兴趣的小伙伴可以直接点击传送门：https://mp.weixin.qq.com/mp/appmsgalbum?__biz=MzkyMTYyOTQ5NA==&action=getalbum&album_id=3482464501872574469#wechat_redirect。

典型WEB漏洞原理

1. Pikachu - “皮卡丘”漏洞乐园

Pikachu，听名字就萌萌哒！它是一个自带各种“疑难杂症”的Web应用系统，几乎囊括了常见的Web安全漏洞。如果你正在为找不到合适的靶场练习而“头秃”，那么Pikachu绝对是你的“菜”！

Pikachu漏洞靶场

技术栈：PHP、MYSQL，中间件（如Apache、Nginx等）

项目地址：https://github.com/zhuifengshaonianhanlu/pikachu

Docker安装：妥妥的支持！

2. DVWA - “网络安全新手村”

DVWA，网络安全入门必刷的“副本”！它包含了最常见的Web漏洞，界面简洁明了，操作“傻瓜式”。通过设置不同的“难度系数”，你可以更好地理解漏洞的“前世今生”，以及如何编写代码进行“防御”。

DVWA靶场环境

技术栈：PHP、MariaDB，中间件（如Apache、Nginx等）

项目地址：https://github.com/digininja/DVWA

Docker安装：必须支持！

3. OWASP Benchmark - “漏洞试金石”

OWASP Benchmark，一个完全开源的Web应用程序，内置了约3000个测试用例，每个用例都对应一个特定的CWE（通用缺陷列表）编号，可以用各种应用程序安全测试（AST）工具进行分析。OWASP Benchmark里的所有漏洞都是“真家伙”，所以它对于任何类型的应用程序漏洞检测工具来说，都是一个“公平公正”的测试平台。

OWASP Benchmark靶场环境

技术栈：JAVA、MySQL、Tomcat

项目地址：https://github.com/OWASP-Benchmark/BenchmarkJava

Docker安装：当然支持！

想了解如何通过镜像方式安装和运行OWASP Benchmark，以及如何生成SAST（静态应用程序安全测试）和DAST（动态应用程序安全测试）工具的评分报告？快来看看小编之前的文章吧：

• 《OWASP Benchmark镜像方式安装、配置及如何生成SAST和DAST工具的评分报告》

4. WebGoat - “漏洞山羊”

WebGoat，由OWASP“亲手打造”的一款“不安全”的Web应用程序，专门用来帮助大家学习应用程序安全和渗透测试技术。

特别提醒：运行WebGoat的电脑很容易“中招”！所以，在使用WebGoat的时候，最好把网线拔了！WebGoat的默认配置是绑定到localhost（本地回环地址）的，这样可以最大限度地减少“暴露风险”。

WebGoat靶场环境

技术栈：JAVA、MySQL、Tomcat

项目地址：https://github.com/WebGoat/WebGoat

Docker安装：必须的！

5. Vulhub - “漏洞速成班”

Vulhub，支持“一键搭建”漏洞测试靶场，只需两个简单的命令，你就能拥有一个“漏洞百出”的环境。

Vulhub在线靶场

技术栈：Python、Java、PHP

项目地址：https://github.com/vulhub/vulhub

在线靶场：https://vulhub.org

Docker安装：支持！

6. vulnweb - “漏洞扫描演武场”

前面介绍的五个漏洞靶场都是有“源代码”的，我们在学习漏洞原理的同时，还可以尝试如何“修复”漏洞。

vulnweb是AWVS（Acunetix Web Vulnerability Scanner）的测试站点，用于验证扫描效果，提供了多个场景的“公网靶场”，经常被用来进行漏洞利用演示。

vulnweb

技术栈：Apache、PHP、MySQL、Python

在线靶场：http://vulnweb.com

黑客/网络安全学习包

资料目录

1. 成长路线图&学习规划

2. 配套视频教程

3. SRC&黑客文籍

4. 护网行动资料

5. 黑客必读书单

6. 面试题合集

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

1.成长路线图&学习规划

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

2.视频教程

很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

3.SRC&黑客文籍

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍：

黑客资料由于是敏感资源，这里不能直接展示哦！

4.护网行动资料

其中关于HW护网行动，也准备了对应的资料，这些内容可相当于比赛的金手指！

5.黑客必读书单

**

**

6.面试题合集

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

更多内容为防止和谐，可以扫描获取~

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

****************************优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享