四、实战演练：从入门到精通

（一）SQL注入：数据库的“隐形钥匙”

SQL注入是Web安全中最经典的漏洞之一，在bWAPP的Low级别中，我们可以轻松复现。以SQL Injection (Login Form/User)登录框注入为例，这里的密码字段经过了MD5加密，我们需要构造联合查询，让用户名部分匹配，同时使查询出的密码字段MD5值等于输入密码的MD5值。

在Low级别下，我们可以直接在用户名输入框中输入admin' OR 1=1--，密码随意输入，点击登录即可成功绕过验证。这是因为OR 1=1让查询条件永远为真，--则注释掉后面的代码，使整个SQL语句合法执行。

到了Medium级别，系统会对输入进行简单过滤，我们可以采用大小写绕过的方式，输入AdMiN' Or 1=1--，同样能绕过验证。而在High级别，系统使用了参数化查询，这是根治SQL注入的有效方法，此时我们需要寻找其他漏洞点。

（二）XSS攻击：网页中的“隐形炸弹”

XSS（跨站脚本攻击）分为反射型、存储型和DOM型三种，在bWAPP中都有对应的场景。以反射型XSS为例，在Low级别下，我们可以在输入框中直接输入<script>alert('XSS攻击成功')</script>，提交后页面会弹出警告框，直观展示XSS的危害。

在Medium级别，系统会对输入的内容进行编码，此时我们可以借助Burp Suite抓包，将编码后的信息重新输入，实现漏洞复现。而在High级别，系统使用了htmlspecialchars()函数过滤，把预定义的字符转换为HTML实体，我们需要寻找更巧妙的绕过方式，比如使用事件触发的XSS代码，如<img src=x onerror=alert('XSS攻击成功')>。

（三）文件上传漏洞：服务器的“后门”

Unrestricted File Upload是一个高危漏洞，在bWAPP的Low级别中，我们可以直接上传包含PHP代码的webshell文件，如shell.php，然后通过浏览器访问这个文件，就能在服务器上执行任意命令。

在Medium级别，系统会对文件扩展名进行简单过滤，我们可以采用文件扩展名绕过的方式，如上传shell.php.jpg，然后通过文件包含漏洞访问这个文件。而在High级别，系统会对上传文件进行严格的验证，包括文件扩展名、文件内容等，我们需要对图片文件进行二次渲染，破坏其中可能隐藏的恶意代码，或者使用其他漏洞配合上传。

五、从攻击者到防御者：构建安全思维

通关bWAPP的过程，本质上是一个“角色扮演”游戏。前半程我们扮演攻击者，想尽一切办法找到系统的弱点；后半程我们需要切换成防御者，思考如何修复这些弱点。

面对SQL注入，防御的核心原则是“数据与代码分离”，使用参数化查询（预编译语句）是根治注入的有效方法。同时，还需要对用户输入进行严格的过滤和验证，避免恶意输入进入数据库。

对于XSS攻击，防御的关键是对用户输入进行HTML编码，将特殊字符转换为HTML实体，防止浏览器解析执行恶意代码。此外，还可以使用CSP（内容安全策略）限制页面中脚本的执行，降低XSS攻击的风险。

针对文件上传漏洞，防御需要多管齐下：使用白名单严格限制允许上传的文件扩展名；对上传文件重命名，避免被猜测到路径；将文件存储在Web根目录之外，通过脚本代理访问；对图片文件进行二次渲染，破坏其中可能隐藏的恶意代码。

通过在bWAPP中不断练习，我们可以逐渐构建起自己的安全思维，从单纯的攻击者转变为具备防御意识的安全专家。