一、關於DVWA的搭建及報錯問題:
上面鏈接主要解決安裝DVWA報錯的問題,這里防止自己再去找,所以記一下。
(1)安裝DVWA需要一個web環境,我實在win2003系統(xss_upload虛擬機)里安裝的。
web環境是phpstudy2018(也可用wamp,有一個即可)
將DVWA解壓好以后打開config目錄然后將下圖文件后綴的dist去掉。(建議復制一個備份)
(2)將文件中password的值改為root
(3)將安全等級改為low
(4)可能還需要激活的密鑰對可以從網上找。
(5)全部改完后重啟web環境的apache和mysql服務,點create/reset數據庫按鈕。如果出現登錄
界面那就是成功了,如果還報錯請點擊上面的傳送門。
(6)出現登錄界面后輸入賬號密碼:
admin
password
(7)FINSH!
(ps:以上。防止自己忘了這樣還能翻博客找到如何操作。)
二、關於DVWA的初步介紹:
Web應用程序(DVWA)是一個很容易受到攻擊的PHP / MySQL Web應用程序。其主要目標是幫助安全專業人員在法律環境中測試他們的技能和工具,幫助Web開發人員更好地了解保護Web應用程序的過程,並幫助學生和教師了解受控類中的Web應用程序安全性房間環境。
DVWA的目標是通過簡單直接的界面練習一些最常見的Web漏洞,具有各種難度。請注意,此軟件存在記錄和未記錄的漏洞。
10個模塊:
Brute Force(暴力破解)
Command Injection(命令行注入)
CSRF(跨站請求偽造)
File Inclusion(文件包含)
File Upload(文件上傳)
Insecure CAPTCHA (不安全的驗證碼)
SQL Injection(SQL注入)
SQL Injection(Blind)(SQL盲注)
XSS(Reflected)(反射型跨站腳本)
XSS(Stored)(存儲型跨站腳本)
同時每個模塊的代碼都有4種安全等級:Low、Medium、High、Impossible。通過從低難度到高難度的測試並參考代碼變化可幫助學習者更快的理解漏洞的原理。
三、關於暴力破解模塊:
這里還需要用到一個軟件:burp suit professional
關於全等級暴力破解會在下一篇隨筆里寫到
傳送門3:DVWA Brute Force(全等級暴力破解)