DVWA 是 OWASP 官方提供的一个做渗透测试的平台,由于 DVWA 是基于PHP语言编写的,因此我们需要部署一套Web环境。如果你本地没有 CentOS 系统虚拟机,可在本地安装phpstudy这个软件,它集成了常见Web环境,例如:Apache、Nginx等。
DVWA共有十个模块,分别是:
- Brute Force(暴力(破解)
- Command Injection(命令行注入)
- CSRF(跨站请求伪造)
- File Inclusion(文件包含)
- File Upload(文件上传)
- Insecure CAPTCHA (不安全的验证码)
- SQL Injection(SQL注入)
- SQL Injection(Blind)(SQL盲注)
- XSS(Reflected)(反射型跨站脚本)
- XSS(Stored)(存储型跨站脚本)
同时每个模块的代码都有4种安全等级:Low、Medium、High、Impossible。通过从低难度到高难度的测试并参考代码变化可帮助学习者更快的理解漏洞的原理。操作前期准备主要有四步,分别为:
- 本地虚拟机中已安装 CentOS8 系统(安装过程忽略);
- CentOS8 中已部署宝塔Linux控制面板(安装过程忽略);
- 实体机hosts文件中已进行域名解析(192.168.18.128 dvwa.defcon.cn);
- 下载DVWA程序(https://github.com/ethicalhack3r/DVWA/archive/master.zip)并上传到宝塔面板后台。
紧接着修改程序中config.icn.php.dist文件,首先重命名为config.icn.php 然后打开该文件夹,设置数据库用户名和密码(宝塔面板后台查询),然后在浏览器中访问dvwa.defcon.cn 点击网页底部的”Create/Reset Database",就可以安装了。
安装完成后,会自动跳转dvwa的登陆页,输入用户名:admin 密码:password 就可以进入平台,现在进行安全测试吧。