前言
DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
分类
DVWA共有十个模块,分别是:
- SQL Injection(SQL注入)
- SQL Injection(Blind)(SQL盲注)
- XSS(Reflected)(反射型跨站脚本)
- XSS(Stored)(存储型跨站脚本)
- Brute Force(暴力(破解))
- Command Injection(命令行注入)
- CSRF(跨站请求伪造)
- File Inclusion(文件包含)
- File Upload(文件上传)
- Insecure CAPTCHA (不安全的验证码)
需要注意的是,DVWA 的代码分为四种安全级别:Low,Medium,High,Impossible。
环境准备
由于DVWA是php/mysql的web应用, 所以需要搭建apace+php+mysql的运行环境
安装参考之前的blog: 服务器(或本地) Apache2+php7 网站搭建
安装
- github项目安装
到apace网站的指定目录下(/var/www/html), 用命令把项目clone到本地:
git clone git@github.com:ethicalhack3r/DVWA.git
- 配置文件
将 config.inc.php.dist 复制一份或重命令为 config.inc.php:
mv ./config.inc.php.dist ./config.inc.php
且将文件里面的配置作如下修改:
$_DVWA[ 'db_server' ] = '127.0.0.1'; #数据库地址
$_DVWA[ 'db_database' ] = 'dvwa'; #数据库名称
$_DVWA[ 'db_user' ] = 'root'; #本地数据库用户名
$_DVWA[ 'db_password' ] = '123456'; #本地数据库密码
使用
- 初始化数据库
打开游览器输入:
http://localhost/DVWA/setup.php
初始/重置数据库:
- 登录使用
打开游览器输入:
http://localhost/DVAW/login.php
初始账号: admin
初始密码: password
- 难度校准
- 答案与帮助
右下角, 第一个是查看php源码; 第二个是查看答案, 所以并用不着去网上查。
来源:CSDN
作者:angry_program
链接:https://blog.csdn.net/angry_program/article/details/104095739