在学习web安全时,刚开始的各种SQL注入,XSS攻击等听得云里雾里的,完全达不到效果,因为光听不练假把式,不如自己上手来试试。所以接下来就进行DVWA的搭建。
DVWA的搭建
DWVA简介
DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
DVWA共有十个模块,分别是Brute Force(暴力(破解))、Command Injection(命令行注入)、CSRF(跨站请求伪造)、File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA (不安全的验证码)、SQL Injection(SQL注入)、SQL Injection(Blind)(SQL盲注)、XSS(Reflected)(反射型跨站脚本)、XSS(Stored)(存储型跨站脚本)。
所以DWVA就充当了各种攻击的靶站。
搭建
下载phpstudy:http://down.php.cn/PhpStudy20180211.zip
phpStudy是集成了Apache和MySql的集成环境。
下载DVWA:https://codeload.github.com/ethicalhack3r/DVWA/zip/v1.9
点击安装phpstudy
选择默认路径:
安装后的phpstudy界面。如果初次进入界面出现缺少VC运行库的弹窗时,点击确认,系统将自动进入下载网站,选择缺少的VC运行库进行下载安装。
接下来将下载好的DVWA压缩包解压到C:\phpStudy\PHPTutorial\WWW目录下并改名为DVWA
更改phpstudy数据库的密码
进入DVWA文件夹下的config目录C:\phpStudy\PHPTutorial\WWW\DVWA\config
用记事本或者notepad打开config.inc.php文件,将下图的密码从p@ssw0rd改为root。这样更容易记住。保存退出。
phpstudy启动
打开浏览器进入127.0.0.1/dvwa
点击创建/重置数据库的按钮,然后进入dwva登陆界面
账号admin 密码password进入主界面。
其中里面就显示了10个模块,以后就需要在这里练习了。