LazyWeb 是一个用于展示常见服务器端应用程序漏洞的演示性 Web 应用程序。该应用程序通过将每个漏洞进行分类并标注其难度等级，为开发者和安全爱好者提供了一个全面的学习体验。 ### 主要特点 - 演示 Web 应用程序中的真实世界漏洞。 - 涵盖从基础到高级的安全缺陷，使用户能够在不同水平上测试自己的技能。 - 旨在帮助安全专业人士理解漏洞的本质以及如何减轻这些漏洞的影响。 ### 包含的漏洞 该应用程序包括以下漏洞： - 操作系统命令注入 - SQL 注入 - XML 外部实体注入 (XXE) - 不安全的直接对象引用 (IDOR) - 本地文件包含 (LFI) - 不安全的文件上传 - 任意会话分配 - 授权破坏 - 认证破坏 - .git 文件夹泄露（如果直接克隆到 Web 根目录）