01 DVWA

DVWA靶場是我們新手入門必練靶場之一，包含暴力破解(Brute Force)、命令注入(Command Injection)、跨站請求偽造(CSRF)、文件包含(File Inclusion)、文件上傳(File Upload)、不安全的驗證碼(Insecure CAPTCHA)、SQL注入(SQL Injection)、SQL盲注(SQL Injection Blind)、反射型跨站腳本攻擊(XSS Reflected)、存儲型跨站腳本攻擊(XSS Stored)。

靶場地址： https://github.com/digininja/DVWA

02 OWASP

OWASP靶場包含了大量存在已知安全漏洞的訓練實驗環境和真實Web應用程序，所包含的環境非常多，相對DVWA來說更貼近實戰，靶場不僅有專門設計的web漏洞應用場景 ，還包含了部分常見的開源web應用程序，相對dvwa不僅有PHP，也還有Jsp、Asp、Python等動態腳本語言環境，而且包含的漏洞種類也非常的豐富，除了常見的web漏洞外，還包含了訪問控制、線程安全、操作隱藏字段、操縱參數、弱會話cookie、web服務、Open Authentication失效、危險的HTML注釋等，非常適合學習和實踐。

地址： https://sourceforge.net/projects/owaspbwa/

03 sqli-labs（SQL注入靶場）

sqli-labs包含了大多數的sql注入類型，以一種闖關模式，對于sql注入進行漏洞進行利用。靶場漏洞類型單一，但是對sql注入類漏洞利用包含的很全。安裝復雜度與dvwa差不多，安裝簡單。

地址： https://github.com/Audi-1/sqli-labs

04 VulHub

Vulhub是一個基于docker和docker-compose的漏洞環境集合。

地址： https://www.vulnhub.com/

05 pikachu

pikachu靶場也是一個比較綜合性的靶場，在前期的文章和直播中我們也講到了他的玩法。感興趣的可以在之前的文章中查看相關教程。

地址： https://github.com/zhuifengshaonianhanlu/pikachu

06 upload-labs

upload-labs靶場是專注于文件上傳這塊的漏洞。

靶場地址 https://github.com/c0ny1/upload-labs

07xss-labs

基于跨站腳本攻擊一個漏洞靶機，也是一款基于通關形式的靶機

地址： http://test.xss.tv