简介
Web应用程序(DVWA)是一个很容易受到攻击的PHP / MySQL Web应用程序。其主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具,帮助Web开发人员更好地了解保护Web应用程序的过程,
十大模块:
-
Brute Force(暴力(破解)
-
Command Injection(命令行注入)
-
CSRF(跨站请求伪造)
-
File Inclusion(文件包含)
-
File Upload(文件上传)
-
Insecure CAPTCHA (不安全的验证码)
-
SQL Injection(SQL注入)
-
SQL Injection(Blind)(SQL盲注)
-
XSS(Reflected)(反射型跨站脚本)
-
XSS(Stored)(存储型跨站脚本)
同时每个模块的代码都有4种安全等级:Low、Medium、High、Impossible。通过从低难度到高难度的测试并参考代码变化可帮助学习者更快的理解漏洞的原理。
注意:难度调节在DVWA配置文件中修改
环境准备
-
因为DVWA是在php环境上运行,所以我们需要预先在设备上准备php的环境。
-
这里推荐使用Wamp程序作为靶场环境,因为其强大的功能,可以直接帮助我们完成DVWA所需要的所有环境准备。(PHP、Apache、MySql)
-
Wamp:下载
-
访问:浏览器直接输入localhost即可进行访问
靶场搭建
- DVWA文件:下载
1、将下载文件放到wamp的www目录下
2、修改DVWA的配置文件
- 在DVWA目录下找到config文件夹,复制
config.inc.php.dist
文件为config.inc.php
- 修改config配置文件的数据库信息和靶场难度
注意:wamp的数据库root账户默认密码为空,后续自己可以到phpadmin中进行密码修改
3、设置PHP函数
右下角小窗==》左键 ==》PHP ==>PHP settings ==》勾选allow url include
4、访问DVWA进行安装
- 浏览器访问==》
http://localhost/DVWA/
- 这里注意DVWA的文件存放路径
- 点击Creat/Reset Datebase就可以成功安装了。(下图是已经安装成功过的场景,但未安装也会出现Setup页面,只是没有下面的诸多选项)
补充
对于部分电脑安装wamp后出现缺少dll文件报错的问题,可以直接下载安装微软官方的VC运行库,随后重启便好了。
VC运行库安装程序:下载