[研究] bWAPP, WebGoat, DVWA 學習練習 sqlmap 的靶機評估選擇
2025-05-09
BWAPP, WebGoat, DVWA 哪一個合適當 sqlmap 的學習練習靶機 ?
ChatGPT 說:
在 BWAPP、WebGoat、DVWA 這三個靶機中,最適合用來搭配 sqlmap 練習 SQL Injection 的靶機是 DVWA(Damn Vulnerable Web Application),原因如下:
✅ DVWA – 最適合 sqlmap
- 設計目的就是練習 Web 漏洞自動化工具,包括 SQL Injection。
- 內建 SQL Injection 靶點,容易辨識、可重現、層級清楚(低、中、高、安全)。
- 與 sqlmap 的整合效果最好,常見教材與教學影片都以 DVWA 為例。
- 簡單安裝(XAMPP/LAMP 環境下即可運行),使用者管理也簡單。
⚠️ BWAPP – 也不錯,但更進階
- 包含大量漏洞(100+),其中也有 SQL Injection 類型(classic, blind, etc.)。
- 可作為進階練習環境,用 sqlmap 掃描時需先熟悉介面與靶點位置。
- 適合在熟悉 DVWA 後進行更多類型測試。
⚠️ WebGoat – 教學導向,不建議用 sqlmap
- 是 OWASP 推出的互動式學習平台,著重手動測試與概念教學。
- 各關卡需透過網頁互動完成,不適合用工具如 sqlmap 自動化攻擊。
- 適合練手動攻擊技巧,不推薦做 sqlmap 測試靶機。
結論建議:
| 靶機 | 適合 sqlmap | 難度 | 說明 |
| DVWA | ✅ 高 | 初級 | 初學者最佳選擇 |
| BWAPP | ✅ 中 | 中級 | 功能多樣,進階可用 |
| WebGoat | ❌ 不建議 | 中高 | 側重教學互動,非自動化工具測試設計 |
(完)
相關
[研究]OWASP WebGoat v2025.3 滲透測試學習平台安裝 (Windows 2025)
https://shaurong.blogspot.com/2025/05/owasp-webgoat-v20253-windows-2025.html
[研究] Damn Vulnerable Web App (DVWA) 1.10 滲透測試練習(靶機)平台安裝 (Windows 2025)
[研究] Damn Vulnerable Web App (DVWA) 1.9 滲透測試平台安裝 (Windows 7)
http://shaurong.blogspot.com/2018/07/damn-vulnerable-web-app-dvwa-19-windows.html
[研究] OWASP Zed Attack Proxy (ZAP) v2.7.0 滲透測試、弱點掃描工具安裝與試用
http://shaurong.blogspot.com/2018/06/owasp-zed-attack-proxy-zap-v270.html
[研究] OWASP WebGoat 8.0、Webwolf 滲透測試安裝、啟動
http://shaurong.blogspot.com/2018/06/owasp-webgoat-80.html
[研究] bWAPP 2.2 bee-box v1.6.7 免費、網路漏洞滲透測試學習平台
http://shaurong.blogspot.com/2016/12/bwapp-22-bee-box-v167.html
[研究] OWASP WebGoatFor.Net 滲透測試練習平台安裝
http://shaurong.blogspot.com/2016/12/owasp-webgoatfornet.html
[研究] OWASP WebGoat 7.1 滲透測試學習平台安裝
http://shaurong.blogspot.com/2016/12/owasp-webgoat-71.html
沒有留言:
張貼留言