一文教会安全测试靶机-DVWA搭建

最新推荐文章于 2024-05-08 10:55:31 发布
最新推荐文章于 2024-05-08 10:55:31 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: 安全测试 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcsq1987/article/details/107456134
版权

一、DVWA简介

DVWA(Damn Vulnerable Web App)是一个基于PHP/MySql搭建的Web应用程序,其主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具,并帮助Web开发者更好的理解Web应用安全防范的过程。

DVWA一共包含十个模块分别是:

  1. Bruce Force(暴力破解)
  2. Command Injection(命令注入)
  3. CSRF(跨站请求伪造)
  4. File Inclusion(文件包含)
  5. File Upload (文件上传漏洞)
  6. Insecure CAPTCHA(不安全的验证)
  7. SQL Injection(sql注入)
  8. SQL Injection(Blind) (sql盲注)
  9. XSS(Reflected)(反射型XSS)
  10. XSS(Stored)(存储型XSS)

同时每个模块的代码都有4种安全等级:Low、Medium、High、Impossible。通过从低难度到高难度的测试并参考代码变化可帮助学习者更快的理解漏洞的原理。

二、DVWA的搭建

DVWA是由PHP代码开发的,所以需要先搭建PHP运行环境。这里我们将采用PhpStudy来进行搭建环境,其集成了最新的Apache和PHP等程序,同时自带了phpMyadmin的管理工具和MySQL数据库,非常方便。

  1. 下载phpstudy安装包。

phpStudy官方下载地址:https://www.xp.cn/

将phpstudy安装包,解压,双击exe文件进行安装。在安装过程中,可以设置安装目录。

安装完成后,可以双击phpstudy快捷方式,进行启动。这时可能会弹出防火墙,点击允许

在浏览器中输入localhost或者127.0.01,会显示phpStudy探针,这表明安装成功。安装成功后,可以查看安装目录。

将phpstudy安装完成后,需要将dvwa这个安全测试平台,放置到phpstdy的WWW目录下,并设置好数据库。

 打开dvwa目录,将config.inc.php.dist文件复制为config.icn.php文件,打开该文件夹,将默认的数据库用户名和密码都设置为"root"。

修改PHP配置如下所示

在浏览器中输入http://127.0.0.1/DVWA-master/setup.php,会进入一个网页。点击该网页底部的”Create/Reset Database",就可以安装数据库。

 

最后,安装完数据库后,网页会自动跳转dvwa的登陆页(http://127.0.0.1/DVWA-master/login.php),输入用户名“admin",密码”password“,就可以进入该网站平台,可以进行安全测试的实践了。

 

 

 

 

 

zcty2020
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
靶机-dvwa修改配置版
05-09
靶机-dvwa修改配置版是一个用于网络安全教育和练习的平台,主要针对Web应用程序的安全漏洞DVWA(Damn Vulnerable Web Application)是一个开源的Web应用,设计用来帮助安全专业人员测试他们的技能,以及让开发者更...
【网络安全学习】渗透测试篇01-DVWA靶场环境搭建教程
JackFCH的博客
10-08 5470
网上不乏有许多类似的教程,但经过笔者检验后发现,多数的文章内容相近且不详细。使笔者在进行环境搭建的过程中着实走了不少弯路。就连DVWA的下载链接也早已不可用,因此为帮助学习者节省时间,笔者重新归纳了整套流程并将其发布于此。一、介绍及注意事项DVWA(Damn Vulnerable Web Application)是一款PHP/MySQL的网络应用程序,其设计目的主要是为了帮助安全专家们在合法的环境下测试他们的技能和工具,或是帮助学生和开发者们更好地理解和学习网络应用程序的安全知识,比如Web渗透。
DVWA靶场练习
农夫果园好好喝的博客
05-18 1211
1 SQL 注入 1.1 SQL注入介绍 SQL injection,即SQL注入,攻击者在 WEB 表单或者页面请求的查询字符串中通过注入恶意的 SQL 命令,从而使数据库执行恶意的 SQL 语句 1.2 漏洞出现的场景 此漏洞通常出现在如下场景: WEB表单提交 域名 1.3 注入思路 1.判断是否存在注入,注入类型是字符型、数字型还是搜索性型。 2.猜解 SQL 查询语句中的字段数。 3.确定显示的字段顺序。 4.获取当前的数据库。 5.获取当前数据库中的表 6.获取表中的字段名。 7.查询数据 gr
超简单的DVWA靶场搭建~小白可入!!!
最新发布
2301_77360738的博客
05-08 322
超级详细的dvwa靶场搭建,带你开启你的漏洞挖掘之路!!!
DVWA靶机安装(超详细教程)
热门推荐
weixin_45631954的博客
07-03 1万+
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录一、DVWA简介二、安装过程1.安装PHPstudy2.安装dvwa靶机3.配置靶机环境 一、DVWA简介 Web应用程序(DVWA)是一个很容易受到攻击的PHP / MySQL Web应用程序。其主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具,帮助Web开发人员更好地了解保护Web应用程序的过程,并帮助学生和教师了解受控类中的Web应用程序安全性房间环境。 DVWA的目标是通过简单直接的界面练习一些最常见的Web漏洞
dvwa靶场
nidaxin的博客
02-12 2805
brute force(high)暴力破解 使用了随机token机制来防止CSRF【跨站请求伪造】 Token是服务端生成的一串字符串,当客户端第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 抓包发现验证了三个参数:用户名、密码、token 在bp里面爆破,选择pichfork模式 ...
dvwa靶场第一周练习
m0_74097148的博客
01-07 439
难度:low 第一题:暴力破解 方法:首先随便输入用户名和密码,进行抓包。 如图所示进入intruder点击add进行破解自己想破解的地方,如图先进行破解用户名 加入自己的破解词典进行破解 破解结果中看到长度明显不同的一个用户名,就是我们所抓取到的,输入该用户名并看响应 这里我也纳闷为什么直接就可以了,百度之后了解到,这个用户名实际上是sql注入,所以我进行了代码审计 在这里我们需要满足$result&&mysqli_num_rows
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
Windows搭建DVWA靶场
qq_42562304的博客
06-10 1937
DVWA(Damn Vulnerable Web Application)一个用来进行安全脆弱性鉴定的PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 DVWA 一共包含了十个攻击模块,分别是:Brute Force(暴力(破解))、Command Injection(命令行注入)、CSRF(跨站请求伪造)、- File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAP
DVWA-master 环境搭建
nainaisheng的博客
06-18 3991
DVWA-master 环境搭建 首先下载安装phpStudy,下载地址 https://www.xp.cn/download.html ; 安装完成后点击“开启”; 在“其他选项菜单”中,点击phpMy-Admin,输入root root 登录,进入后创建名为dvwa的数据库: 开始安装DVWA-master 4. 将下载的包放到phpStudy的www目录下 ...
【kali-Linux】DVWA搭建漏洞靶场_kali搭建dvwa靶场,2024年最新网络安全入门你值得拥有
2401_84254406的博客
04-10 611
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
windows服务器配合PhpStudy搭建公网DVWA靶机
idjjya的博客
04-20 1050
考虑到新手小白使用windows服务器居多,特出此教程(64位)搭建靶机所需设备及工具:1、windows服务器(自备)2、phpstudy3、DVWA靶机包4、Notepad++ (一款超强的文档编辑器)密码:1y9b开始搭建……
网络安全常见练习靶场
qq_53058639的博客
11-13 306
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里。
16个网络安全常用的练习靶场(小白必备)
qq_44005305的博客
01-31 2650
DVWA-WooYun是一个基于DVWA的PHP+Mysql漏洞模拟练习环境,通过将乌云主站上的有趣漏洞报告建模,以插件形式复现给使用该软件的帽子们,可以让乌云帽子们获得读报告体验不到的真实感,在实践的过程中可以无缝隙地深入理解漏洞的原理及利用方式 中英双字,如果您语文学的不好不必担心了,界面提示英文的(DVWA原厂),内容提示中英双字(后来觉得比较眼花,所以去掉了部分英文)这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。
DVWA靶机安装教程
weixin_46556293的博客
07-29 9188
DVWA安装教程
【网络安全】Docker部署DVWA靶机环境
MSB_WLAQ的博客
09-28 5802
Docker很好用,DVWA更是网络安全学习当中必不可少的靶机,但是DVWA的部署实在是太过麻烦了,如果每次不小心删除虚拟机或者更新了VM之后导致虚拟机不可用而删除重新部署,那简直就是灾难。而这就是Docker的优势了!Docker在部署之后可以打包成压缩文件,推送仓库之后就可以在任何地方的Docker上运行了!
Vulnhub靶机渗透环境搭建及JIS-CTF入门实践
Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一) 在这篇文章中,我们将学习如何搭建Vulnhub靶机渗透环境,并学习JIS-CTF入门知识,以及蚁剑提权示例。本文将详细讲解Vulnhub靶机渗透的环境搭建和JIS-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值