DVWA簡介
DVWA(Damn Vulnerable Web Application)是一個用來進行安全脆弱性鑒定的PHP/MySQL Web應用,旨在為安全專業人員測試自己的專業技能和工具提供合法的環境,幫助web開發者更好的理解web應用安全防范的過程。
目前,最新的DVWA已經更新到1.10版本(http://www.dvwa.co.uk/)。DVWA共有14個模塊,分別是
- Brute Force(暴力破解)
- Command Injection(命令行注入)
- CSRF(跨站請求偽造)
- File Inclusion(文件包含)
- File Upload(文件上傳)
- Insecure CAPTCHA(不安全的驗證碼)
- SQL Injection(SQL注入)
- SQL Injection (Blind)(SQL盲注)
- Weak Session IDs(弱會話ID)
- XSS (DOM)(DOM型跨站腳本攻擊)
- XSS (Reflected)(反射型跨站腳本)
- XSS (Stored)(存儲型跨站腳本)
- CSP Bypass(繞過瀏覽器的安全策略)
- JavaScript(JS攻擊)
需要注意的是,DVWA 1.10的代碼分為四種安全級別:Low,Medium,High,Impossible。初學者可以通過比較四種級別的代碼,接觸到一些PHP代碼審計的內容。
搭建步驟
1.在Windows系統中安裝WAMP
- 下載地址:https://pan.baidu.com/s/1HY0hFnj6ywKjwHhB1vlOfg
- 解壓密碼:ms08067.com
- 雙擊安裝即可
2.從官網(http://www.dvwa.co.uk/)上下載DVWA安裝文件,解壓文件,修改文件名為dvwa,將其拷貝到wamp的www目錄下。
3.將dvwa\config目錄下的config.inc.php.dist文件名修改為config.inc.php。
4.將config.inc.php文件中的數據庫密碼更改為你的數據庫密碼,將端口號更改為3306。
5.啟動wamp服務,打開http://localhost/phpmyadmin/,在數據庫中新建一個dvwa數據庫。
6.訪問http://127.0.0.1/dvwa/setup.php,點擊Create / Reset Database進行安裝。
7.點擊login即可進行登錄,默認用戶名admin,默認密碼password。
8.之后在DVWA Security模塊,設置安全級別為Low,點Submit,完成DVWA的配置。之后也能在這里設置各種級別來對網絡攻防的學習。
9.安裝過程中遇到的2個問題
<1>安裝過程中可能會出現紅色的disabled,修改PHP安裝目錄中的php.ini文件,找到allow_url_include,把Off改為On,然后重啟PHP即可解決這個問題。
或者如下圖所示,點擊wamp圖標--PHP--php設置--勾選allow_url_include,這種方法更加簡單。此時wamp圖標會先變成紅色再變成綠色。
<2>安裝過程中提示:reCAPTCHA key: Missing
解決方法為編輯 dvwa/config/config.inc.php這個配置文件,將2個key填上
$_DVWA[ 'recaptcha_public_key' ] = '6LdJJlUUAAAAAH1Q6cTpZRQ2Ah8VpyzhnffD0mBb'; $_DVWA[ 'recaptcha_private_key' ] = '6LdJJlUUAAAAAM2a3HrgzLczqdYp4g05EqDs-W4K';
參考:https://blog.csdn.net/RBPicsdn/article/details/80059132
ok,搭建完成。