一、DVWA简介
DVWA(Damn Vulnerable Web App)是一个基于PHP/MySql搭建的Web应用程序,其主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具,并帮助Web开发者更好的理解Web应用安全防范的过程。
DVWA一共包含十个模块分别是:
- Bruce Force(暴力破解)
- Command Injection(命令注入)
- CSRF(跨站请求伪造)
- File Inclusion(文件包含)
- File Upload (文件上传漏洞)
- Insecure CAPTCHA(不安全的验证)
- SQL Injection(sql注入)
- SQL Injection(Blind) (sql盲注)
- XSS(Reflected)(反射型XSS)
- XSS(Stored)(存储型XSS)
同时每个模块的代码都有4种安全等级:Low、Medium、High、Impossible。通过从低难度到高难度的测试并参考代码变化可帮助学习者更快的理解漏洞的原理。
二、DVWA的搭建
DVWA是由PHP代码开发的,所以需要先搭建PHP运行环境。这里我们将采用PhpStudy来进行搭建环境,其集成了最新的Apache和PHP等程序,同时自带了phpMyadmin的管理工具和MySQL数据库,非常方便。
- 下载phpstudy安装包。
phpStudy官方下载地址:https://www.xp.cn/
将phpstudy安装包,解压,双击exe文件进行安装。在安装过程中,可以设置安装目录。
安装完成后,可以双击phpstudy快捷方式,进行启动。这时可能会弹出防火墙,点击允许
在浏览器中输入localhost或者127.0.01,会显示phpStudy探针,这表明安装成功。安装成功后,可以查看安装目录。
将phpstudy安装完成后,需要将dvwa这个安全测试平台,放置到phpstdy的WWW目录下,并设置好数据库。
打开dvwa目录,将config.inc.php.dist文件复制为config.icn.php文件,打开该文件夹,将默认的数据库用户名和密码都设置为"root"。
修改PHP配置如下所示
在浏览器中输入http://127.0.0.1/DVWA-master/setup.php,会进入一个网页。点击该网页底部的”Create/Reset Database",就可以安装数据库。
最后,安装完数据库后,网页会自动跳转dvwa的登陆页(http://127.0.0.1/DVWA-master/login.php),输入用户名“admin",密码”password“,就可以进入该网站平台,可以进行安全测试的实践了。