一、DVWA簡介
DVWA(Damn Vulnerable Web App)是一個基于PHP/MySql搭建的Web應用程式,其主要目标是幫助安全專業人員在法律環境中測試他們的技能和工具,并幫助Web開發者更好的了解Web應用安全防範的過程。
DVWA一共包含十個子產品分别是:
- Bruce Force(暴力破解)
- Command Injection(指令注入)
- CSRF(跨站請求僞造)
- File Inclusion(檔案包含)
- File Upload (檔案上傳漏洞)
- Insecure CAPTCHA(不安全的驗證)
- SQL Injection(sql注入)
- SQL Injection(Blind) (sql盲注)
- XSS(Reflected)(反射型XSS)
- XSS(Stored)(存儲型XSS)
同時每個子產品的代碼都有4種安全等級:Low、Medium、High、Impossible。通過從低難度到高難度的測試并參考代碼變化可幫助學習者更快的了解漏洞的原理。
二、DVWA的搭建
DVWA是由PHP代碼開發的,是以需要先搭建PHP運作環境。這裡我們将采用PhpStudy來進行搭建環境,其內建了最新的Apache和PHP等程式,同時自帶了phpMyadmin的管理工具和MySQL資料庫,非常友善。
- 下載下傳phpstudy安裝包。
phpStudy官方下載下傳位址:https://www.xp.cn/
将phpstudy安裝包,解壓,輕按兩下exe檔案進行安裝。在安裝過程中,可以設定安裝目錄。
安裝完成後,可以輕按兩下phpstudy快捷方式,進行啟動。這時可能會彈出防火牆,點選允許
在浏覽器中輸入localhost或者127.0.01,會顯示phpStudy探針,這表明安裝成功。安裝成功後,可以檢視安裝目錄。
将phpstudy安裝完成後,需要将dvwa這個安全測試平台,放置到phpstdy的WWW目錄下,并設定好資料庫。
打開dvwa目錄,将config.inc.php.dist檔案複制為config.icn.php檔案,打開該檔案夾,将預設的資料庫使用者名和密碼都設定為"root"。
修改PHP配置如下所示
在浏覽器中輸入http://127.0.0.1/DVWA-master/setup.php,會進入一個網頁。點選該網頁底部的”Create/Reset Database",就可以安裝資料庫。
最後,安裝完資料庫後,網頁會自動跳轉dvwa的登陸頁(http://127.0.0.1/DVWA-master/login.php),輸入使用者名“admin",密碼”password“,就可以進入該網站平台,可以進行安全測試的實踐了。