DVWA（Damn Vulnerable Web Application，该死的易受攻击的 Web 应用）是一个用于 Web 渗透测试的靶场。这一项目基于 PHP，提供了多个常见的 Web 漏洞的经典实现，非常适合 Web 安全入门实践。（GitHub 仓库） DVWA 的每个漏洞（vulnerability）分为四个安全等级（也代表攻击难度）： Low：完全没有安全措施。 Medium：不良的安全实践。 High：（或许更难攻击的）不良安全实践。 Impossible：安全的实践。 环境配置 我的运行环境是 macOS。接下来，我们使用 Docker 部署实验环境。 使用 Docker Compose 搭建环境 这个项目的 GitHub 上预构建的镜像，都是 linux/amd64 平台，不方便在我 macOS 的 linux/arm64/v8 平台下运行（或许要通过 Rosetta）。因此，我们选择克隆代码仓库，在本地构建镜像。 git clone git@github.com:digininja/DVWA.git 仓库中其实已经包含了 compose.yml 文件，不过为了满足自己的需求，我还是重新写了一个 compose 文件。 除了 MySQL（MariaDB）数据库以外，为了方便起见，再部署一个 phpMyAdmin 来查看和管理数据库内容（毕竟干啥都要写 SQL 太不直观了）。最终 compose.yml 文件如下： version: “3” services: dvwa: build: . environment: - DB_SERVER=mariadb depends_on: - mariadb volumes: - config:/var/www/html/config ...