DVWA简介
该死的易受攻击的 Web 应用程序 (DVWA) 是一个该死的易受攻击的 PHP/MySQL Web 应用程序。它的主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具,帮助 Web 开发人员更好地了解保护 Web 应用程序的过程,并帮助学生和教师在受控课程中了解 Web 应用程序安全房间环境。
DVWA环境准备
github-DVWA=默认登录用户名:admin、密码:password
服务器-Windows Server 2008 R2
PHPstudy
DVWA配置
①配置数据库用户名密码
修改./config/config.inc.php.list文件并重命名为./config/config.inc.php
$ _DVWA [ 'db_server' ] = '127.0.0.1' ;
$ _DVWA [ 'db_port' ] = '3306' ;
$ _DVWA [ 'db_user' ] = 'dvwa' ;===>修改为数据库用户
$ _DVWA [ ' db_password ' ] = 'p@ssw0rd' ;===>修改为数据库密码
$ _DVWA [ 'db_database' ] = 'dvwa' ;
使用PHPstudy安装,默认用户名:root、密码:root
②ReCAPTCHA配置
通过Google recaptcha获取公钥以及私钥
$_DVWA[ 'recaptcha_public_key' ] = '6LdJJlUUAAAAAH1Q6cTpZRQ2Ah8VpyzhnffD0mBb';
$_DVWA[ 'recaptcha_private_key' ] = '6LdJJlUUAAAAAM2a3HrgzLczqdYp4g05EqDs-W4K';
由于访问不了google网址,可以直接使用网上生成key
③PHP配置
PHP function safe_mode: Disabled
PHP function allow_url_include: Enabled
PHP function allow_url_fopen: Enabled
PHP function magic_quotes_gpc: Disabled
PHP module gd: Installed
PHP module mysql: Installed
PHP module pdo_mysql: Installed
- allow_url_include = on- 允许远程文件包含 (RFI)
- allow_url_fopen = on- 允许远程文件包含 (RFI)
- safe_mode = off- (如果 PHP <= v5.4) 允许 SQL 注入 (SQLi)
- magic_quotes_gpc = off- (如果 PHP <= v5.4) 允许 SQL 注入 (SQLi)
- isplay_errors = off-(可选)隐藏 PHP 警告消息以使其不那么冗长
DVWA安装
只需解压缩 dvwa.zip,将解压缩的文件放在公共 html 文件夹中,然后将浏览器指向:http://127.0.0.1/dvwa/setup.php