這是一款仍在積極研發(fā)中的軟件，如果你想要現(xiàn)在測(cè)試它現(xiàn)有漏洞，需要確保自己添加了Express框架。

[[160413]]

DVNA簡(jiǎn)介

首先，希望大家多多支持UX/UI，幫助我們修復(fù)bug和優(yōu)化文檔。

DVNA(Damn Vulnerable Node Application)，它是一款由Node.js打造的知名WEB漏洞測(cè)試平臺(tái)，或許有些朋友已經(jīng)使用過(guò)。它是用來(lái)給使用Node的WEB開發(fā)人員演示如何進(jìn)行安全編碼，以及讓網(wǎng)絡(luò)安全愛好者進(jìn)行奪旗比賽的平臺(tái)。其中，這個(gè)平臺(tái)里包含常見的WEB漏洞，并且分級(jí)成不同層次。

安裝過(guò)程

這里我們采用的是Ubuntu 15.10平臺(tái)，首先你需要裝好git，它可以管理node的版本：

sudo apt-get install git
wget -qO- https://raw.github.com/creationix/nvm/master/install.sh | sh
source ~/.bashrc
nvm install 5.3.0
nvm use 5.3.0
git clone https://github.com/quantumfoam/DVNA.git
cd DVNA/
npm install express
node vulnerabilities/command_injection.js
navigate to http://localhost:6666/

裝好軟件以后，就去閱讀源碼文件，想想如何利用那些漏洞吧。當(dāng)然，不是所有的漏洞需要Express框架。在某種意義上來(lái)講，所有的漏洞都在同一UI下，可以根據(jù)漏洞提示信息去訪問每個(gè)級(jí)別的漏洞。

現(xiàn)在每個(gè)漏洞類別的測(cè)試內(nèi)容有些重復(fù)，這有點(diǎn)枯燥乏味，我們還并沒有為漏洞挑戰(zhàn)單獨(dú)弄個(gè)UI模板(不過(guò)應(yīng)該快了)。

免責(zé)聲明

我們并不為任何使用DVNA的人負(fù)責(zé)，此前已經(jīng)明確指出它不應(yīng)該用在惡意用途。我們給予了用戶警告，并且采取了措施阻止用戶把DVNA安裝到用于生產(chǎn)環(huán)境的WEB服務(wù)器上。如果你的WEB服務(wù)器因?yàn)镈VNA被人黑了，我們不會(huì)為此負(fù)責(zé)。

許可

本文件是DVNA的一部分。

DVNA是一款免費(fèi)軟件：你可以根據(jù)GNU GPL里的條款，在此版本或者以后的版本里，對(duì)它進(jìn)行提交修改。

我們希望這款軟件會(huì)有用，但不對(duì)它做任何保證，詳情請(qǐng)參閱GNU GPL條款。

本項(xiàng)目文件夾里附上了GNU GPL條款的副本，如果里面沒有的話，請(qǐng)參閱http://www.gnu.org/licenses/。