小白入坑web渗透测试必备指南（Web应用渗透测试学习工具-TIWAP）

小白入坑web渗透测试必备指南（Web应用渗透测试学习工具-TIWAP）为了帮助广大用户轻松快捷地安装和使用TIWAP，我们已经帮助大家完成了项目的配置哦工作，我们只需要在本地系统上安装好Docker即可。以下每个漏洞环境均有低（Low）、中等（Medium）、高级（High），练习者可以根据自己的练习需要调整配置。前端：HTML、CSS和JavaScript后端：Python - Flask数据库：SQLite3和MongoDB

前言

对于WEB安全渗透工程师来说，巩固WEB渗透技能是必不可少的环节，在未得到授权的项目情况下，大部分的工程师学习时都要依靠靶场或者攻防演练来合法的提升自己的渗透实践能力，本文带来一款开源且用于WEB渗透测试学习的工具。

工具简介

TIWAP是一款包含大量漏洞的Web应用渗透测试学习工具，同时也开始一个Web安全测试平台，该工具基于Python和Flask实现其功能，可以帮助一些信息安全爱好者或测试人员学习和了解各种类型的Web安全漏洞。该工具的灵感来源于DVWA，开发者已经尽最大努力重新生成了各种Web漏洞。

使用建议

我们强烈建议在虚拟机而不是实时 Web 服务器（内部或外部）上安装实验室。

我们不对任何人使用此应用程序 (TIWAP) 的方式负责。该应用程序仅用于教育目的，不应被恶意使用。如果您的网络服务器因安装此应用程序而受到损害，这不是我们的责任，而是上传和安装它的人的责任。

工具设计

前端：HTML、CSS和JavaScript

后端：Python - Flask

数据库：SQLite3和MongoDB

工具项目

工具实验漏洞项（目前为止）

以下每个漏洞环境均有低（Low）、中等（Medium）、高级（High），练习者可以根据自己的练习需要调整配置。

• SQL注入
• Blind SQL注入
• NoSQL注入
• Command注入
• 业务逻辑漏洞
• 敏感数据泄露
• XML外部实体
• 安全错误配置
• 反射型XSS
• 存储型XSS
• 基于DOM的XSS
• HTML注入
• 不安全的证书验证
• 硬编码Credentials
• 不安全的文件上传
• 暴力破解
• 目录遍历
• 跨站请求伪造(CSRF)
• 服务器端请求伪造(SSRF)
• 服务器端模板注入(SSTI)

工具的安装与配置

为了帮助广大用户轻松快捷地安装和使用TIWAP，我们已经帮助大家完成了项目的配置哦工作，我们只需要在本地系统上安装好Docker即可。

安装好Docker之后，我们就可以运行下列命令来下载和安装TIWAP了：

git clone https://github.com/tombstoneghost/TIWAP cd TIWAP docker-compose up

注意：这种工具安装方式仅支持在Linux平台上使用，针对Windows平台的兼容问题现在正在解决中。

实验环境启动之后，我们就可以使用默认凭证进行登录了：

用户名：admin 密码：admin项目传送门

https://github.com/tombstoneghost/TIWAP