### 项目简介 DVPWA（Damn Vulnerable Python Web Application）灵感来源于著名的 DVWA 项目和 bobby-tables 的 xkcd 漫画。该项目旨在实现一个具有真实世界场景的 Python Web 应用，并**故意包含尽可能多的安全漏洞**，同时保持良好的设计和开发初衷。 DVPWA 主要用于演示和教学 Web 安全漏洞，曾在 EVO Summer Python Lab'17 的 Web 漏洞演讲中作为示例项目使用。 ### 主要漏洞演示 - **Session 固定攻击（Session Fixation）** 登录前后 session id 不变，攻击者可利用此漏洞劫持用户会话。 - **SQL 注入（SQL Injection）** 用户输入未做参数化处理，攻击者可通过构造恶意 SQL 语句执行任意数据库操作。 - **存储型 XSS（Stored XSS）** 用户提交的内容未做过滤或转义，恶意脚本可被存储并在页面展示时执行。 - **密码存储不安全** 密码以 MD5 哈希直接存储，容易被撞库、破解。推荐使用更安全的哈希算法如 bcrypt、argon2 等。 - **CSRF（跨站请求伪造）** （待补充）当前未实现 CSRF 防护，易受伪造请求攻击。 ### 适用场景 - Web 安全教学与演示 - 安全工具测试与实践 - 漏洞复现与安全研究 默认的账号密码为: superadmin:superadmin > **警告：本项目为教学和安全研究用途，**请勿在生产环境部署或用于非法用途！