1、 一、DVWA介绍 DVWA(Dema Vulnerable Web Application)是基于PHP/MySQL环境编写的,用来进行安全脆弱性鉴定的一个web应用。旨在为网络安全专业人员提供合法的环境,测试自己的专业技能和工具,帮助web开发者更好的理解web应用安全防范的过程。DVWA介绍DVWA有以下模块:Brute Force(暴力(破解)Command Injection(命令行注入)CSRF(跨站请求伪造)File Inclusion(文件包含)File Upload(文件上传)Insecure CAPTCHA(不安全的验证码)SQL Injection(SQL注入)SQL I
2、njection(Blind)(SQL盲注)Weak Session IDs(弱的会话ID)XSS(DOM)(基于DOM跨站脚本)XSS(Reflected)(反射型跨站脚本)XSS(Stored)(存储型跨站脚本)二、DVWA v1.9的平台搭建 Kali-Linux-Light安装安装DVWA1Kali官方网站可下载到最新版光盘ISO镜像或虚拟机镜像,本教程将采用:Kali Linux 32 bit VMware VM虚拟机安装DVWA。https:/www.kali.org/downloads/http:/cdimage.kali.org/kali-weekly/DVWA v1.9的平台
3、搭建https:/www.offensive- 通过下载安装VMware Workstation Player虚拟机播放软件,启动Kali Linux 32 bit VMware VM。https:/ v1.9的平台搭建 3 解压缩已下载的虚拟机文件包Kali-Linux-Light-2017.2-vm-i386.7z,使用VMware Player启动。DVWA v1.9的平台搭建 使用快捷键Ctrl+D,打开虚拟机设置对话框,设置虚拟机的“网络适配器”在“网络连接”选项中设置虚拟机网络连接方式,推荐在安装完成之后使用“桥接模式:直接连接物理网络”。在平台安装完成之后,可以使用“仅主机模式:
4、与主机共享的专用网络”,在自己的计算机中进行实验操作。DVWA v1.9的平台搭建 4 使用系统默认账号:root:toor,登录Kali Linux Light平台。登录Kali Linux系统之后,出现Xfce桌面,点击桌面底部的“Terminal Emulator”图标,打开终端仿真窗口。DVWA v1.9的平台搭建 输入命令:ip address,查询当前虚拟机的IP地址 并使用PING命令测试到Kali官方网站(kali.org)是否可以访问,确认之后按Ctrl+c终止。DVWA v1.9的平台搭建 如果没有自动获得IP地址,或PING 不通,则需要咨询网络管理员可用的上网地址/子网
5、掩码/默认网关和DNS服务器等信息,然后通过手动配置虚拟机的网络连接。网络连接配置过程:a)右键点击桌面右上角“”图标,选择“Edit Connections”。在Network Connections对话框中选择有线网络连接“Wired Connection 1”,点击“Edit”按钮。DVWA v1.9的平台搭建 b)点击“IPv4 Settings”标签,选择“Method:”下拉框中的“Manual”,然后点击“Add”按钮,手动添加IP地址、子网掩码、默认网关和DNS服务器。配置完成之后,点击“Save”按钮保存设置,然后再通过终端仿真命令行测试网络的可连接性。DVWA v1.9的平
6、台搭建 5安装DVWA 平台。a)在终端仿真窗口命令行中运行“apt-get update”命令,更新软件包安装源。在终端仿真窗口命令行中运行“apt-get upgrade y”命令,更新系统中已安装的软件包。DVWA v1.9的平台搭建 b)打开DVWA的官方WIKI网站:https:/ 查看DVWA的安装环境和安装要求。DVWA v1.9的平台搭建 c)在Kali Linux Light中需要安装软件包:apache2、mysql-server、php5、php5-mysql、php5-gd。在终端仿真窗口命令行中运行:apt-get-y install apache2 default-
7、mysql-server php php-mysql php-gd,在线下载并安装DVWA的支撑平台。DVWA v1.9的平台搭建 d)在终端仿真窗口命令行中运行wget在线下载DVWAv1.9源代码:Wget https:/ v1.9的平台搭建 e)将下载的master.zip文件移动到网站主目录:/var/www/html,并完成解压缩和文件夹重命名操作 设置Web用户对于文件上传的uploads文件夹及PHPIDS使用的日志文件添加写入权限。DVWA v1.9的平台搭建 f)停止apach和mysql运行并修改DVWA和PHP的配置文件,service apache2 stopservi
8、ce mysql stopvi /var/www/html/dvwa/config/config.inc.php$_DVWA db_user =dvwa;$_DVWA db_password =Pssw0rd;$_DVWA db_database =dvwa;$_DVWA db_port =3306;$_DVWA recaptcha_public_key =6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg;$_DVWA recaptcha_private_key =6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ;vim/etc
9、/php/7.0/apache2/php.iniallow_url_include=onallow_url_fopen=onDVWA v1.9的平台搭建 Kali Linux默认使用MariaDB数据库,因此需要在数据库中创建新用户:dvwa,密码设置为:Pssw0rd。service apache2 startservice mysql startDVWA v1.9的平台搭建运行mysql命令,配置Kali Linux的数据库MariaDB,创建新数据库:dvwa和用户账号:mysqlmysql create database dvwa;mysql grant all on dvwa.*to
10、 dvwalocalhost identified by Pssw0rd;mysql flush privileges;mysql quitservice apache2 restartservice mysql restart如果需要开机自动启用将apache和mysql服务,需要运行命令:update-rc.d apache2 enable添加apache服务自启动update-rc.d mysql enable添加mysql服务自启动 g)使用浏览器打开DVWA网站,显示网站检查的内容,如果有选项为红色标注的字体,则需要检查和修正DVWA的配置操作中失败的部分。DVWA v1.9的平台搭建DVWA v1.9的平台搭建点击底部的“Create/Reset Database”按钮,创建或重置DVWA的数据库。创建成功后,网站将自动跳转到DVWA登录界面。使用admin:password登录,DVWA平台安装成功!DVWA v1.9的平台搭建谢谢观看
