DVWA学习

最新推荐文章于 2024-02-04 09:45:26 发布
最新推荐文章于 2024-02-04 09:45:26 发布
阅读量3k 收藏 1
点赞数 1
分类专栏: DVWA 文章标签: php 渗透测试 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56369117/article/details/121788548
版权

DVWA安装教程

DVWA简介

该死的易受攻击的 Web 应用程序 (DVWA) 是一个该死的易受攻击的 PHP/MySQL Web 应用程序。它的主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具,帮助 Web 开发人员更好地了解保护 Web 应用程序的过程,并帮助学生和教师在受控课程中了解 Web 应用程序安全房间环境。

DVWA环境准备

github-DVWA=默认登录用户名:admin、密码:password
服务器-Windows Server 2008 R2
PHPstudy

DVWA配置

①配置数据库用户名密码
修改./config/config.inc.php.list文件并重命名为./config/config.inc.php

$ _DVWA [ 'db_server' ] = '127.0.0.1' ;
$ _DVWA [ 'db_port' ] = '3306' ;
$ _DVWA [ 'db_user' ] = 'dvwa' ;===>修改为数据库用户
$ _DVWA [ ' db_password ' ] = 'p@ssw0rd' ;===>修改为数据库密码
$ _DVWA [ 'db_database' ] = 'dvwa' ;

使用PHPstudy安装,默认用户名:root、密码:root

②ReCAPTCHA配置
通过Google recaptcha获取公钥以及私钥

$_DVWA[ 'recaptcha_public_key' ]  = '6LdJJlUUAAAAAH1Q6cTpZRQ2Ah8VpyzhnffD0mBb';
$_DVWA[ 'recaptcha_private_key' ] = '6LdJJlUUAAAAAM2a3HrgzLczqdYp4g05EqDs-W4K';

由于访问不了google网址,可以直接使用网上生成key

③PHP配置

PHP function safe_mode: Disabled
PHP function allow_url_include: Enabled
PHP function allow_url_fopen: Enabled
PHP function magic_quotes_gpc: Disabled
PHP module gd: Installed
PHP module mysql: Installed
PHP module pdo_mysql: Installed

  • allow_url_include = on- 允许远程文件包含 (RFI)
  • allow_url_fopen = on- 允许远程文件包含 (RFI)
  • safe_mode = off- (如果 PHP <= v5.4) 允许 SQL 注入 (SQLi)
  • magic_quotes_gpc = off- (如果 PHP <= v5.4) 允许 SQL 注入 (SQLi)
  • isplay_errors = off-(可选)隐藏 PHP 警告消息以使其不那么冗长
    在这里插入图片描述

DVWA安装

只需解压缩 dvwa.zip,将解压缩的文件放在公共 html 文件夹中,然后将浏览器指向:http://127.0.0.1/dvwa/setup.php
在这里插入图片描述

Camer_X
关注
专栏目录
DVWA全级别通关教程
m0_67393295的博客
07-28 874
首先选择难度,我们从low开始,如上图所示进行修改目录SQL手工注入过程:lowMediumhighImpossible??SQL 盲注过程:SQL 工具注入工具安装过程:过程:?lowMediumHigh:暴力破解过程:LowMediumHighImpossible命令注入过程:LowMediumHigh:Impossible文件上传过程:LowMediumHighImpossibleXSS漏洞过程:Low(反射型)MediumHigh?ImpossibleLow(存储型)MediumHighImposs
通过DVWA学习DOM型XSS
Mi1k7ea
01-02 4082
下了个新版的DVWA看了下,发现新增了好几个Web漏洞类型,就玩一下顺便做下笔记,完善一下之前那篇很水的DOM XSS文章,虽然这个也很水 :) 基本概念 DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。 DOM型XSS其实是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞,其触...
关于DVWA学习
auto1988的博客
08-10 108
1.先说一下DVWA的搭建:http://www.freebuf.com/sectool/102661.html 这个教程已经说的很清楚了,就不加赘述了,讲一下自己装的时候出现的小问题吧 1)有一点过于依赖教程了,强行去安装了winxp,装了半天,突然发现,有点不对,直接以前的win7或者物理机应该就可以用了啊,哇,浪费了时间,装完了才意识到这个问题,我觉得还是太依赖教程了,还有就是...
DVWA学习小计1
weixin_44181054的博客
02-15 226
DVWA学习小计 DVWA模块分类。 DVWA共有十个模块,分别是Brute Force(暴力(破解))、Command Injection(命令行注入)、CSRF(跨站请求伪造)、File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA (不安全的验证码)、SQL Injection(SQL注入)、SQL Injection(Blind)(S...
DVWA学习笔记全等级
06-08
DVWA学习笔记全等级
DVWA通关手册.docx
08-19
文档内部包含DVWA平台,所有类型漏洞低中高等级的攻击过程,非常仔细。也有部分自己的攻击方法,值得一试。
dvwa学习-brute force(暴力破解)
qq_17762247的博客
05-09 1868
一、简介: Brute-Force(暴力破解),又称为穷举攻击,是一种密码分析的方法,即将密码进行逐个推算直到找出真正的密码为止。例如:一个已知是四位数并且全部由阿拉伯数字组成的密码,其可能共有10000种组合,因此最多尝试9999次就能找到正确的密码。理论上除了具有完善保密性的密码以外,利用这种方法可以破解任何一种密码,问题只在于如何缩短试误时间。有些人运用计算机来增加效率,有些人透过字典攻击来...
通过DVWA学习SQL注入漏洞
热门推荐
Mi1k7ea
02-21 2万+
此篇文章作为本人的学习小笔记,有任何不足之处望各位大牛多多指教~ SQL注入漏洞作为OWASP TOP10中重要的一部分,可见其安全性的危害有多大。简单地说,SQL注入就是通过构建特殊的具有SQL语法的语句,绕到数据库中进而执行相应的操作的漏洞。关于SQL注入更多的描述就不再多说了,网上资料也很多,下面就直接上笔记。 基于报错的检测方法: 各种符号以及组合: ‘  “  (  %
dvws:该死的易受攻击的Web服务是一个不安全的Web应用程序,具有多个易受攻击的Web服务组件,可用于了解现实世界中的Web服务漏洞。 笔记
05-06
该死的脆弱的Web服务 注意:该项目已过时,请使用 该死的易受攻击的Web服务是一个不安全的Web应用程序,具有多个易受攻击的Web服务组件,可用于了解现实世界中的Web服务漏洞。 该项目的目的是通过使用实际的实验室环境来帮助安全专业人员了解Web应用程序安全性。 此应用程序包括以下漏洞。 WSDL枚举 XML外部实体注入 XML炸弹拒绝服务 XPATH注入 WSDL扫描 跨站点追踪 操作系统命令注入 服务器端请求伪造 REST API SQL注入 相同来源方法执行 JSON Web令牌(JWT)密钥暴力破解 跨域资源共享 指示 DVWS可以与XAMPP设置一起使用。 XAMPP是一个免费的开源跨平台Web服务器解决方案,主要由Apache Web Server和MySQL数据库组成。 要进行设置,请先下载并安装XAMPP设置。 接下来,下载dvws文件夹并将该文件夹复制到htdoc
DVWA学习笔记
lee_maple的博客
01-15 3161
DVWA学习笔记 Security Level: LOW 暴力破解(Brute Force) 已知用户名,尝试使用burp爆破密码 随意输入一个密码,将其发送至burpsuit intruder 导入一个字典(在实际生产中需要强大的社会工程学字典)进行暴力破解 一般情况下,不难看出长度不同的即为正确密码 命令注入(Command Injection) Command Injection,即命令注入,是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。P..
DVWA学习日记-7 XSS
qq_29010757的博客
11-28 463
XSS漏洞 概述 收到一个链接,手一抖就点下去了,发现钱没了,有点类似CSRF,从受害者角度来说都是一样情况,但是从攻击者角度来说不同 XSS Cross-site scripting 跨站 脚本 本质上: 客户端代码注入,通常注入代码是JavaScript区别于命令注入,SQL注入等服务端代码注入 类型: 存储型XSS 攻击代码在数据库里在HTTP响应中 反射型XSS 攻击代码在url里输出...
DVWA学习记录系列(一)
qq_43696276的博客
10-17 530
安装配置DVWA(基于phpstudy) 备注:从今天起日常记录小白关于DVWA学习的过程、心得以及遇到的各种问题的解决方法。 文章目录前言一、phpstudy、DVWA是什么?二、安装配置步骤1.下载2.安装及配置总结 前言 要想学习DVWA首先需要自己在电脑上配置好DVWA的网站。本文主要基于phpstudy进行对DVWA的安装及配置。 一、phpstudy、DVWA是什么? -phpstudy: 对于程序员来说,phpstudy是一个非常好用的PHP调试环境集成包,包含了最新的Apache和.
DVWA教程(一) —— Low级别
weixin_47610939的博客
04-29 2091
本篇文章为各位正在学习DVWA提供解题思路,同时也是本人的学习笔记,本文中的方法仅为验证漏洞,并无攻击目的。DVWA安装,可以使用docker容器,非常简单方便,通过以下链接: Docker Hubhttps://hub.docker.com/r/sagikazarmark/dvwa 0x01. 暴力破解 0x02. 代码注入 先看题目,是一个ping命令 <?php if( isset( $_POST[ 'Submit' ] ) ) { // Get in...
DVWA学习之XSS(跨站脚本攻击)
最新发布
mmxhappy的专栏
02-04 1020
跨站脚本攻击XSS(Cross Site Script) 为了不和层叠式演示表(Cascading Style Sheets,CSS) 的缩写混淆,顾将跨站脚本攻击缩写为XSS。恶意攻击者网web页面插入恶意Script代码,当用户浏览该页面时,嵌入web里面的script代码就会被执行,从而达到攻击用户的目的。XSS攻击针对的是用户层面的攻击!
DVWA学习之XSS(跨站脚本攻击)(超级详细)
weixin_40950781的博客
08-22 1万+
DVWA学习之XSSXSS 跨站脚本攻击0x01 XSS(Cross Site Script)简介0x02 何为XSS0x03 XSS存在的原因0x04 XSS漏洞的危害0x05 XSS 的分类及特点1. 存储型XSS2. 反射型XSS3. MOD型XSS XSS 跨站脚本攻击 0x01 XSS(Cross Site Script)简介 0x02 何为XSS 跨站脚本攻击XSS(Cross Sit...
web安全学习神器——DVWA安装部署
m0_60571990的博客
02-21 1021
web安全学习神器——DVWA安装部署
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值