前言对于WEB安全渗透工程师来说，巩固WEB渗透技能是必不可少的环节，在未得到授权的项目情况下，大部分的工程师学习时都要依靠靶场或者攻防演练来合法的提升自己的渗透实践能力，本文带来一款开源且用于WEB渗透测试学习的工具。工具简介TIWAP是一款包含大量漏洞的Web应用渗透测试学习工具，同时也开始一个Web安全测试平台，该工具基于Python和Flask实现其功能，可以帮助一些信息安全爱好者或测试人员学习和了解各种类型的Web安全漏洞。该工具的灵感来源于DVWA，开发者已经尽最大努力重新生成了各种Web漏洞。使用建议我们强烈建议在虚拟机而不是实时 Web 服务器（内部或外部）上安装实验室。我们不对任何人使用此应用程序 (TIWAP) 的方式负责。该应用程序仅用于教育目的，不应被恶意使用。如果您的网络服务器因安装此应用程序而受到损害，这不是我们的责任，而是上传和安装它的人的责任。工具设计前端：HTML、CSS和JavaScript后端：Python – Flask数据库：SQLite3和MongoDB工具项目工具实验漏洞项（目前为止）以下每个漏洞环境均有低（Low）、中等（Medium）、高级（High），练习者可以根据自己的练习需要调整配置。SQL注入Blind SQL注入NoSQL注入Command注入业务逻辑漏洞敏感数据泄露XML外部实体安全错误配置反射型XSS存储型XSS基于DOM的XSSHTML注入不安全的证书验证硬编码Credentials不安全的文件上传暴力破解目录遍历跨站请求伪造(CSRF)服务器端请求伪造(SSRF)服务器端模板注入(SSTI)工具的安装与配置为了帮助广大用户轻松快捷地安装和使用TIWAP，我们已经帮助大家完成了项目的配置哦工作，我们只需要在本地系统上安装好Docker即可。安装好Docker之后，我们就可以运行下列命令来下载和安装TIWAP了：git clone https://github.com/tombstoneghost/TIWAP

cd TIWAP

docker-compose up注意：这种工具安装方式仅支持在Linux平台上使用，针对Windows平台的兼容问题现在正在解决中。实验环境启动之后，我们就可以使用默认凭证进行登录了：用户名：admin

密码：admin项目传送门https://github.com/tombstoneghost/TIWAP