一:简介
DVWA(Damn Vulnerable Web Application)一个用来进行安全脆弱性鉴定的PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
DVWA 一共包含了十个攻击模块,分别是:Brute Force(暴力(破解))、Command Injection(命令行注入)、CSRF(跨站请求伪造)、- File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA (不安全的验证码)、SQL Injection(SQL注入)、SQL Injection(Blind)(SQL盲注)、XSS(Reflected)(反射型跨站脚本)、XSS(Stored)(存储型跨站脚本)。包含了 OWASP TOP10 的所有攻击漏洞的练习环境,一站式解决所有 Web 渗透的学习环境。
另外,DVWA 还可以手动调整靶机源码的安全级别,分别为 Low,Medium,High,Impossible,级别越高,安全防护越严格,渗透难度越大。
一般 Low 级别基本没有做防护或者只是最简单的防护,很容易就能够渗透成功;而 Medium 会使用到一些非常粗糙的防护,需要使用者懂得如何去绕过防护措施;High 级别的防护则会大大提高防护级别,一般 High 级别的防护需要经验非常丰富才能成功渗透;
最后 Impossible 基本是不可能渗透成功的,所以 Impossible 的源码一般可以被参考作为生产环境 Web 防护的最佳手段。
二:下载地址
DVWA下载
GitHub下载地址: https://github.com/digininja/DVWA
网盘下载: https://pan.baidu.com/s/16uUFseisRp3wlIuzaYcnUA?pwd=hhdz
小皮面板下载(PhPstudy)
官网: https://www.xp.cn/https://www.xp.cn/
三:环境搭建
3.1.下载和安装phpstudy
.1打开小皮网站 小皮面板(phpstudy) - 让天下没有难配的服务器环境!(xp.cn),选择与自己操作系统相应的进行下载;我的是windows版本 64位
.2根据默认安装完成后,打开phpstudy界面如下:
.3开启Apache和MySql两个服务,点击启动:
3.2.下载和安装dvwa
.1下载地址上面有写;百度网盘下载好点,GitHub需要第三方工具访问在进行下载;将下载完成后的压缩包,解压,并放在phpstudy)_pro(这个是你刚才安装小皮的路径名)的www目录下【可根据需要是否需要对文件重命名】,为了方便,重命名DVWA;
.2访问 127.0.0.1/dvwa
.3解决上面报错问题,找到这个文件夹用记事本打开
.4如下图所示修改,保存
.5将config.inc.php.dist文件 重命名为config.inc.php
.6再次访问http://127.0.0.1/dvwa
.7滑动页面到最后,点击create/reset database 按钮
.8完成搭建,并且进入用户登录界面(默认账户:admin密码:password )
.9加油少年,开始你的表演!