奶奶曾说过,去模仿别人,更能看清自己。
目录
一、dvwa介绍
DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
其中呢,包含了 OWASP TOP10 的所有攻击漏洞的练习环境,一站式解决所有 Web 渗透的学习环境。
- Brute Force暴力破解
- Command Injection命令行注入
- CSRF跨站请求伪造
- File Inclusion文件包含
- File Upload文件上传
- Insecure CAPTCHA不安全的验证码
- SQL InjectionSQL注入
- SQL Injection(Blind)SQL盲注
- XSS(Reflected)反射型跨站脚本
- XSS(Stored)存储型跨站脚本
其中还能调节dvwa的安全级别,进行练习。
作为新手来说,用来认识web漏洞,最好不过了。
二、xampp介绍
XAMPP(Apache+MySQL+PHP+PERL)是几个强大的建站集成。这个软件包原来的名字是LAMPP,为了理解,最新的改名为XAMPP了。它可以在Windows、Linux、Solaris、Mac OS X 等操作系统下安装使用。
总的来说就是,这个软件是新手的福音。
在这里,这个软件不仅可以让我们学习PHP,还能搭建我们的dvwa。
简直,nice的一批!!!!
三、xampp安装及配置
点击绿色的大按钮,会跳转链接,复制跳转之后的链接,打开迅雷下载
由于官网在国外,你用网站打开点击下载,会很慢,可能要下载好久。
所以,我们直接将上图链接复制,打开我们的迅雷下载
一会就下好了,迅雷讲道理,这方面真的好用,有链接,就能下。
特别是我们这类没VPN的穷苦程序员,下载什么国外的包,软件,的问题能1000%解决。
1、安装
基本上安装向导中,除了安装路径更改以外,其它的默认就可以了。
2、Apache和mysql配置
如果这两个模块可以正常启动,则不需要以下配置。
为什么其它的几个不配置,因为暂时用不上,但是配置方法是相通的
需要在上图的位置更改它的端口,更改范围1024-65535最为妥当
然后在设置里,要将上图圈起来的两个配置文件里的端口号,也更新成我们刚刚更改的端口号。
点击打开配置文件就是文本的格式,我们使用组合键ctrl+f,搜索以前的端口,逐一更新。
3、汉化
最后英文不好的我着实看不懂这些操作,所以我选择了汉化。
下载上图的汉化配置文件,与\xampp\locale\en\LC_MESSAGES路径下的文件替换。
再次打开xampp就是中文啦。
四、dvwa下载与配置
1、下载
下载下来的是一个zip格式的压缩包,将文件解压到E:\xampp\htdocs
此处因为我将xampp安装在了E盘
即:将文件解压到相对路径:xampp\htdocs
2、配置
dvwa的配置很简单
将文件名更改一下(可以自定义),方便我们以后用浏览器访问。(虽然浏览器会有历史记录这个东西,不知道为啥好多教程都说要改。)
我头上这张图,和它头上那张图的区别在哪里?(怕有人不知道,改的是什么!!!)
接着是更改相对路径:xampp\htdocs\dvwa\config里的一个配置文件
将文件的后缀.dist去掉,使文件全名变成
config.inc.php
如果不改的话,我们之后的登陆会报错。
五、登陆
浏览器输入:
http://127.0.0.1:8090/dvwa
# {本地地址}:{Apache的端口}/dvwa(前面讲到可以自定义的那个文件)
登陆成功如下图:
六、常见问题
1、修改PHP 函数
打开php.ini配置文件
ctrl+f查找两个函数:allow_url_include与allow_url_fopen,将off更改为on
2、无法连接到数据库
原因:没有dvwa用户
解决办法:
用本地帐号登陆数据库
在里面添加 config.inc.php文件里描述的用户信息
当我们再点击Create/Reset Database
按钮的时候就是下图的用户名密码登陆界面。
进入之后,就是我们web安全学习的真正开始。