以下是关于Web安全测试靶场的详细介绍，涵盖常见靶场类型、功能特点及使用场景：

一、综合型靶场

1、DVWA(Damn Vulnerable Web Application)

特点：基于PHP/MySQL开发，涵盖暴力破解、SQL注入、XSS、文件上传等10种常见漏洞，支持低到高四个难度等级。

安装方式：可通过Docker快速部署(docker run -d -p 80:80 dvwa/dvwa)，或使用Windows的phpstudy本地搭建。

适用场景：新手入门首选，高校教学常用，可模拟真实Web应用攻击流程。

2、WebGoat

特点：OWASP开发的Java靶场，提供30+课程模块，包括XSS、CSRF、SQL盲注等，支持漏洞原理与修复教学。

安装方式：下载jar包后通过java -jar启动，需JDK11+环境。

适用场景：适合深入学习漏洞成因与防护，课程体系完整。

3、Vulhub

特点：基于Docker的漏洞环境集合，覆盖CVE漏洞复现，支持快速搭建多种场景。

获取方式：通过官网(https://vulhub.org/)获取环境脚本。

适用场景：适合研究最新漏洞，提升实战能力。

二、专项练习靶场

1、sqli-labs

特点：专注SQL注入，包含6种注入类型(如字符串型、数字型、盲注等)，以闯关形式逐步深入。

安装方式：Docker部署或GitHub源码安装(https://github.com/Audi-1/sqli-labs)。

适用场景：SQL注入专项训练，适合初学者快速掌握技巧。

2、upload-labs & xss-labs

upload-labs：针对文件上传漏洞，模拟绕过黑名单、前端校验等场景。

xss-labs：包含反射型与存储型XSS关卡，支持源码对比分析。

安装方式：Docker镜像或GitHub源码部署。

3、XSS弹窗专项练习

特点：13关递进式XSS挑战，实时查看源码与效果，适合理解XSS原理。

访问地址：https://xss.haozi.me/。

三、在线渗透测试平台

1、Hack The Box

特点：商业化靶场，涵盖Web、逆向工程等多领域，难度从基础到高级，适合系统性提升。

使用方式：注册并订阅服务(部分免费靶场可用)。

2、墨者靶场

特点：国内在线平台，提供Web、内网渗透等靶机，支持一键环境部署。

使用方式：注册账号后免费使用部分资源。

3、BUUCTF

特点：CTF竞赛整合平台，收录各类CTF题目，适合刷题提升实战能力。

访问地址：https://buuoj.cn/。

总的来说，新手建议从DVWA、sqli-labs等单一漏洞靶场入手，再逐步过渡到WebGoat、Hack The Box等综合平台。专项练习可结合upload-labs、XSS挑战等强化特定技能，而在线平台适合进阶与竞赛演练。