)
bWAPP 是什么?为什么它这么适合新手?
bWAPP(Buggy Web Application),顾名思义,就是一个“故意写满漏洞的网站”。
它的核心作用只有一个:
让你练漏洞。
1. 它到底能干嘛?
bWAPP 内置了100+ 常见 Web 漏洞场景,包括:
SQL 注入(SQL Injection)
XSS(跨站脚本攻击)
文件上传漏洞
命令执行
CSRF
XXE(XML 外部实体注入)
SSRF
Open Redirect
也就是说:
你在课上学到的那些“攻击方式”, 在这里基本都能亲手操作一遍。
2. 它最大的优点:分级难度
bWAPP 很贴心的一点是:
它提供了三种安全等级:
low(低)
medium(中)
high(高)
这意味着什么?
同一个漏洞,你可以:
在 low 模式下理解原理
在 medium 模式下尝试绕过
在 high 模式下挑战真实防护
这比单纯看书强太多了。
3. 为什么老师都爱用它?
一句话总结:
因为它“刚刚好”。
不像真实网站那么复杂
也不像教学案例那么简单
每个漏洞都“可控 + 可复现”
对于初学者来说,它就是:
从“看懂漏洞”到“会打漏洞”的桥梁
二、为什么推荐用虚拟机版本?
我一开始也想直接本地搭建(Apache + PHP + MySQL), 但很快发现一个问题:
很多漏洞根本跑不起来。
比如:
心脏滴血漏洞(Heartbleed)
Shellshock(破壳漏洞)
这些漏洞依赖特定环境,本地搭建很难复现。
所以更推荐:bee-box 虚拟机版本
bee-box 是官方提供的一个“开箱即用”的环境,里面已经:
配好了 Web 服务
配好了数据库
集成了 bWAPP
配好了漏洞环境
你只需要:
下载 → 导入 → 启动 → 开始练
非常适合新手。
三、手把手教你搭建 bWAPP(虚拟机版)
下面是我自己实际走过的一套流程,基本零踩坑。
(1)下载 bee-box
下载地址:
https://sourceforge.net/projects/bwapp/files/bee-box/bee-box_v1.6.7z/download
下载完成后:
解压压缩包
你会看到一个 bee-box 文件夹
(2)导入虚拟机
打开 VMware,按照以下步骤操作:
点击「打开虚拟机」
进入刚刚解压的目录
选择文件:
bee-box.vmx打开
(3)网络配置(非常关键)
建议设置为:
NAT 模式
原因:
可以直接访问外网
宿主机可以访问虚拟机
不需要复杂配置
(4)启动虚拟机
点击“开启此虚拟机”,稍等一会,你会看到一个类似 Linux 的界面。
说明已经启动成功。
四、如何使用 bWAPP(两种方式)
接下来就是最关键的一步:
如何访问这个靶场?
方法一:在虚拟机内部访问
操作步骤:
打开虚拟机桌面
找到:
bWAPP-Install点击运行
登录信息:
用户名:bee 密码:bug登录成功后,你会看到主界面。
在右上角可以选择漏洞类型,比如:
XXE
SQL Injection
XSS
