16个网络安全常用的练习靶场（小白必备）

最新推荐文章于 2025-05-24 11:31:28 发布

原创最新推荐文章于 2025-05-24 11:31:28 发布 · 3.9k 阅读

44 ·

CC 4.0 BY-SA版权

文章标签：

#网络安全 #安全 #系统安全 #web安全 #可信计算技术

本文列举了16个适合网络安全初学者的练习靶场，包括DVWA、Mutillidae、SQLol等，涵盖SQL注入、XSS、Web安全等多个方面，帮助学习者通过实践提升安全技能。同时，文中还介绍了网络安全入门的学习路线，从基础到进阶，逐步掌握网络基础、编程语言、Web安全和安全体系。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

16个网络安全常用的练习靶场（小白必备）

DVWA (Dam Vulnerable Web Application)

DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。

链接地址：http://www.dvwa.co.uk

mutillidaemutillidae是一个免费，开源的Web应用程序，提供专门被允许的安全测试和入侵的Web应用程序。它是由Adrian “Irongeek” Crenshaw和Jeremy “webpwnized” Druin.开发的一款自由和开放源码的Web应用程序。其中包含了丰富的渗透测试项目，如SQL注入、跨站脚本、clickjacking、本地文件包含、远程代码执行等.

链接地址：

http://sourceforge.net/projects/mutillidae

SQLol

SQLol是一个可配置得SQL注入测试平台，它包含了一系列的挑战任务，让你在挑战中测试和学习SQL注入语句。此程序在Austin黑客会议上由Spider Labs发布。

链接地址：

https://github.com/SpiderLabs/SQLol

hackxor

hackxor是由albino开发的一个online黑客游戏,亦可以下载安装完整版进行部署,包括常见的WEB漏洞演练。包含常见的漏洞XSS、CSRF、SQL注入、RCE等。

链接地址：

http://sourceforge.net/projects/hackxor

BodgeIt

BodgeIt是一个Java编写的脆弱性WEB程序。他包含了XSS、SQL注入、调试代码、CSRF、不安全的对象应用以及程序逻辑上面的一些问题。

Exploit KB

该程序包含了各种存在漏洞的WEB应用，可以测试各种SQL注入漏洞。此应用程序还包含在BT5里

链接地址：

http://exploit.co.il/projects/vuln-web-app

WackoPicko

WackoPicko是由Adam Doupé.发布的一个脆弱的Web应用程序，用于测试Web应用程序漏洞扫描工具。它包含了命令行注射、sessionid问题、文件包含、参数篡改、sql注入、xss、flash form反射性xss、弱口令扫描等。

链接地址：

https://github.com/adamdoupe/WackoPicko

WebGoat

WebGoat是由著名的OWASP负责维护的一个漏洞百出的J2EE Web应用程序，这些漏洞并非程序中的bug，而是故意设计用来讲授Web应用程序安全课程的。这个应用程序提供了一个逼真的教学环境，为用户完成课程提供了有关的线索。

项目说明：

http://www.owasp.org.cn/owasp-project/webscan-platform

文件下载：

https://owasp.org/www-project-webgoat/

OWASP Hackademic

OWASP Hackademic 是由OWASP开发的一个项目，你可以用它来测试各种攻击手法，目前包含了10个有问题的WEB应用程序。

链接地址：

https://github.com/Hackademic/hackademic

XSSeducation

XSSeducation是由AJ00200开发的一套专门测试跨站的程序。里面包含了各种场景的测试。

链接地址：

http://wiki.aj00200.org/wiki/XSSeducation

Google XSS 游戏

Google推出的XSS小游戏

链接地址：

https://xss-game.appspot.com/

Web for Pentester

web for pentester是国外安全研究者开发的的一款渗透测试平台，通过该平台你可以了解到常见的Web漏洞检测技术。具体包括 XSS跨站脚本攻击, SQL注入, 目录遍历. 命令注入, 代码注入, XML攻击, LDAP攻击, 文件上传以及一些指纹识别技术

DVWA-WooYun（乌云靶场）

DVWA-WooYun是一个基于DVWA的PHP+Mysql漏洞模拟练习环境，通过将乌云主站上的有趣漏洞报告建模，以插件形式复现给使用该软件的帽子们，可以让乌云帽子们获得读报告体验不到的真实感，在实践的过程中可以无缝隙地深入理解漏洞的原理及利用方式中英双字，如果您语文学的不好不必担心了，界面提示英文的（DVWA原厂），内容提示中英双字（后来觉得比较眼花，所以去掉了部分英文）

Metasploitable

著名的渗透框架 Metasploit 出品方 rapid7 还提供了配置好的环境 Metasploitable，是一个打包好的操作系统虚拟机镜像，使用 VMWare 的格式。可以使用 VMWare Workstation（也可以用免费精简版的 VMWare Player ）“开机”运行。

链接地址：

https://information.rapid7.com/metasploitable-download.html

下载地址：

http://downloads.metasploit.com/data/metasploitable/metasploitable-linux-2.0.0.zip

OWASP Broken Web Applications Project

跟 Metasploitable 类似，这也是打包好的虚拟机镜像，预装了许多带有漏洞的 Web 应用，有真实世界里的流行网站应用如 Joomla, WordPress 等的历史版本（带公开漏洞），也有 WebGoat, DVWA 等专门用于漏洞测试的模拟环境。

链接地址：

https://code.google.com/p/owaspbwa/

XCTF_OJ

XCTF-OJ （X Capture The Flag Online Judge）是由 XCTF 组委会组织开发并面向 XCTF 联赛参赛者提供的网络安全技术对抗赛练习平台。XCTF-OJ 平台将汇集国内外 CTF 网络安全竞赛的真题题库，并支持对部分可获取在线题目交互环境的重现恢复，XCTF 联赛后续赛事在赛后也会把赛题离线文件和在线交互环境汇总至 XCTF-OJ 平台，形成目前全球 CTF 社区唯一一个提供赛题重现复盘练习环境的站点资源。

链接地址:http://oj.xctf.org.cn/

PWNABLE.KR

以上都是网页服务器安全相关的靶场，再推荐一个练习二进制 pwn 的网站：Pwnable.kr。pwnable 这类题目在国外 CTF 较为多见，通常会搭建一个有漏洞（如缓冲区溢出等）的 telnet 服务，给出这个服务后端的二进制可执行文件让答题者逆向，简单一点的会直接给源代码，找出漏洞并编写利用程序后直接攻下目标服务获得答案。这个网站里由简到难列出了许多关卡，现在就上手试试吧。

链接地址：

http://pwnable.kr/%3Fp%3Dprobs