介绍
易受攻击Web应用程序(DVWA)是一个非常易受攻击的PHP/MySQL Web应用程序。其主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具,帮助web开发人员更好地了解保护web应用程序的过程,并帮助学生和教师在受控的课堂环境中学习web应用程序安全。
DVWA的目的是通过一个简单明了的界面来实践一些最常见的web漏洞,具有各种难度。请注意,此软件既有已记录的漏洞,也有未记录的漏洞。这是故意的。
phpstudy安装
phpstudy官网
根据自身的系统来选择安装包,这里我选择的是Windows版,本次环境搭建是win10上完成的。
跟着安装引导来进行,只要路径不是C盘就行。
DVWA搭建
一、在giethub上下载靶场包,然后将文件解压到phpstudy/www的目录下
二、修改配置文件
DVWA文件的config文件夹下的config.inc.php.dist文件, 修改文件内容,mysql数据库用户名,密码,修改完成后保存(修改的内容是你在phpstudy中设置的)
在phpstudy创建网站,选择刚才解压的路径,端口可自行选用(注意端口占用的问题,端口范围在0-65535)
打开浏览器访问一下就可以了。
初始用户名:admin 密码:password
常见问题
其实到这里就可以使用,之后我会解决一些红字问题。
一、PHP function allow_url_include: Disabled’
主要是实现远程包含漏洞时,进行设置,用不到可以不设。
在网站的根目录(phpstudy_pro\WWW\DVWA(phpstudy_pro\WWW\DVWA1)下,找到php.ini进行修改。把allow_url_fopen、allow_url_include设置为on
另外:因为我们是在phpstudy中实现的,所以还要在"软件管理内"将正在使用,打开"远程包含",“远程文件”。
二、reCAPTCHA key: Missing
reCAPTCHA 密钥(也称为网站密钥),用来验证您的网页和移动应用上的用户互动。
编辑 dvwa/config/config.inc.php这个配置文件
这里有两个方法
1、自己在google生成reCAPTCHA
https://www.google.com/recaptcha/admin
在\phpstudy_pro\WWW\DVWA\config\config.inc.php中就说明
#ReCAPTCHA settings
#Used for the ‘Insecure CAPTCHA’ module
#You’ll need to generate your own keys at: https://www.google.com/recaptcha/admin
2、可以用别人的公开的reCAPTCHA key
reCAPTCHA key:蓝队云
填到\phpstudy_pro\WWW\DVWA\config\config.inc.php就可以了
三、第三个在第一个中解决了