Web安全实战
本地部署dvwa,模拟真实环境
渗透神器打造
——打造属于自己的渗透神器
选择Firefox:因为Firefox是开源浏览器,拥有数量比较多的插件,可以很方便的把浏览器打造成我们想要的样子。
主要安装一下几个插件:
Firebug(火狐已经集成,非常强大的调试工具,我们主要用到的是HTML元素查看功能和网络数据监控功能)
Hackbar(一款优良的渗透插件,主要用于SQL注入,XSS等漏洞的手工测试,我们主要用到它的分割URL参数和编码的功能)
Tamper data(一款抓HTTP/HTTPS数据包的插件,具备劫包、探包、改包、发包的功能,我们可以插入自己的攻击代码,方便对web站点的测试)
Proxy switch(一款代理插件,可以将浏览器访问的所有数据包发送到指定的端口,当然这需要浏览器之外的插件,在对应的端口上对数据包进行处理,这种软件是比tamper data更高级的应用)
经过上面的操作我就有了一款渗透测试的神器,那么我还需要搭建测试需要的web环境,因为我们将要部署的dvwa环境是用php写的,所以我们搭建php环境。
Php环境搭建
数据交互过程:
浏览器→找到页面→hello.php→处理php(→与数据库进行交互)→返回HTML→返回浏览器
以上红色部分属于服务器部分:浏览器部分已经配置好了,那么就来配置服务器部分吧!
配置服务器需要:
Apache服务器
Php解析程序
MySQL数据库
在这里我们用到了phpstudy这个软件,这个软件是学习神器,它自带了:
Apache服务器
Php解析程序
MySQL数据库
Phpmyadmin管理工具
Phpstudy官网:http://www..phpstudy.net
安装好后使用我们配置好的浏览器来访问本地ip地址(本地ip不知道可以运行→cmd→ipconfig查看)
需要留意的是探针页面的绝对路径(这个就是网站根目录)
Dvwa代码安装
Dvwa是一套用php语言编写的web渗透测试环境,包含了许多流行的安全漏洞程序,后面学习的漏洞按照顺序依次包括:
暴力破解、命令注入、跨站请求伪造CSRF、文件包含漏洞、文件上传漏洞、SQL注入、跨站脚本攻击XSS
Dvwa安装:
官网下载地址:www.dvwa.co.uk
进入后选择右上角GitHub,会跳转到GitHub。
下拉在download下载最新版就好。
下载完成后解压到上面说的网站根目录下(放在phpstudy的www文件夹下)
解压后进入config目录:config/config.inc.php(主要是用来配置数据库的)
用记事本打开,修改数据库密码为root,保存退出即可。
浏览器登录dvwa页面:本机ip/绝对路径/dvwa文件名
小结:
打造Firefox渗透测试神器
Firebug
Hackbar
Tamper data
Proxy switch
部署web服务器环境
PHPstudy
部署web渗透测试环境
Dvwa
野兔
2019.3.2