以下是關于Web安全測試靶場的詳細介紹，涵蓋常見靶場類型、功能特點及使用場景：

一、綜合型靶場

1、DVWA(Damn Vulnerable Web Application)

特點：基于PHP/MySQL開發，涵蓋暴力破解、SQL注入、XSS、文件上傳等10種常見漏洞，支持低到高四個難度等級。

安裝方式：可通過Docker快速部署(docker run -d -p 80:80 dvwa/dvwa)，或使用Windows的phpstudy本地搭建。

適用場景：新手入門首選，高校教學常用，可模擬真實Web應用攻擊流程。

2、WebGoat

特點：OWASP開發的Java靶場，提供30+課程模塊，包括XSS、CSRF、SQL盲注等，支持漏洞原理與修復教學。

安裝方式：下載jar包后通過java -jar啟動，需JDK11+環境。

適用場景：適合深入學習漏洞成因與防護，課程體系完整。

3、Vulhub

特點：基于Docker的漏洞環境集合，覆蓋CVE漏洞復現，支持快速搭建多種場景。

獲取方式：通過官網(https://vulhub.org/)獲取環境腳本。

適用場景：適合研究最新漏洞，提升實戰能力。

二、專項練習靶場

1、sqli-labs

特點：專注SQL注入，包含6種注入類型(如字符串型、數字型、盲注等)，以闖關形式逐步深入。

安裝方式：Docker部署或GitHub源碼安裝(https://github.com/Audi-1/sqli-labs)。

適用場景：SQL注入專項訓練，適合初學者快速掌握技巧。

2、upload-labs & xss-labs

upload-labs：針對文件上傳漏洞，模擬繞過黑名單、前端校驗等場景。

xss-labs：包含反射型與存儲型XSS關卡，支持源碼對比分析。

安裝方式：Docker鏡像或GitHub源碼部署。

3、XSS彈窗專項練習

特點：13關遞進式XSS挑戰，實時查看源碼與效果，適合理解XSS原理。

訪問地址：https://xss.haozi.me/。

三、在線滲透測試平臺

1、Hack The Box

特點：商業化靶場，涵蓋Web、逆向工程等多領域，難度從基礎到高級，適合系統性提升。

使用方式：注冊并訂閱服務(部分免費靶場可用)。

2、墨者靶場

特點：國內在線平臺，提供Web、內網滲透等靶機，支持一鍵環境部署。

使用方式：注冊賬號后免費使用部分資源。

3、BUUCTF

特點：CTF競賽整合平臺，收錄各類CTF題目，適合刷題提升實戰能力。

訪問地址：https://buuoj.cn/。

總的來說，新手建議從DVWA、sqli-labs等單一漏洞靶場入手，再逐步過渡到WebGoat、Hack The Box等綜合平臺。專項練習可結合upload-labs、XSS挑戰等強化特定技能，而在線平臺適合進階與競賽演練。