想学习安全测试,但没有环境,又不能去网上乱搞,是不是很头大,今天博主就教你搭建一个自己的安全测试环境——DVWA
DVWA
全名叫Damn Vulnerable Web Application,是一个基于PHP/MYSQL的web应用。专门就是为了帮助安全测试人员去学习与测试工具用的。就是搞了一个应用,有各种各样的漏洞,专门让你用来联系安全测试的。简直太适合初学者了有没有。
下载
那么首先我们需要搭建PHP/MYSQL的环境,很简单,用xampp就好了,我是超链接。
然后我们下载DVWA的应用包,点我。
这里要提醒你,因为这个应用充满了各种漏洞,不要在本机上直接安装,否则你的电脑被黑了可不要怪我。
不能在本机上装,那就用虚拟机呗,安装VMware,再装个XP系统,我们的准备活动就差不多了。
安装
- 在虚拟机里,解压xampp并安装,非常简单,装好直接就打开了主面板。
- 解压dvwa,改名为dvwa并放在:“[xampp安装目录]\htdocs\”目录下
- 修改“[xampp目录]\htdocs\dvwa\config\config.inc.php”里面连接MySQL数据库的密码、端口(xampp默认MySQL用户名密码是root/root,默认端口是3306)
- 启动xampp的Apache和MySQL服务
- 获取虚拟机IP,并通过“http://[虚拟机IP]:80/dvwa”进入dvwa的安装界面
- 点击【Create / Reset Database】创建dvwa数据库。创建成功后会自动跳转到登录页面。
- 默认登录账号密码见上图,是【admin/password】登录。
- 登录后可见到界面如下图所示,左侧列表列出了dvwa所支持的漏洞种类,共10种,【DVWA Security】中可以设置dvwa的漏洞级别,有【Low、Medium、High、Impossible】四个级别。
- 到这里dvwa就已经装好了,你可以用它来练习了。
漏洞类型
DVWA一共支持10种漏洞类型,包括:
- Brute Force(暴力破解)
- Command Injection(命令行注入)
- CSRF(跨站请求伪造)
- File Inclusion(文件包含)
- File Upload(文件上传)
- Insecure CAPTCHA(不安全的验证码)
- SQL Injection(SQL注入)
- SQL Injection(Blind)(SQL盲注)
- XSS(Reflected)(反射型跨站脚本)
- XSS(Stored)(存储型跨站脚本)
漏洞级别
DVWA可以设置漏洞的级别,一共有四种:
- Low (这个级别的漏洞没有做任何安全方面的措施)
- Medium (这个级别做了一点简单的安全防护,但是不够严格)
- High (这个级别比Medium要高,做了不错的安全防护,但也还是有漏洞可钻)
- Impossible (这个级别的安全措施就严格多了,基本上你是会被堵死了,这个级别一般可以给开发人员用来对比自己的代码来学习,看看人是怎么防护这种漏洞的)
这么说来,这个DVWA不仅仅对安全测试人员有用,开发人员也可以用它来学习漏洞防护。
好了,DVWA装好了,用它来练习你的技能吧。