DVWA 使用 - 安装,配置篇
DVWA简介
DVWA(Damn Vulnerable Web Application)
是一个用来进行代码安全测试
的PHP/MySQL Web
应用
可以用来 测试 工具 ,也可以 理解web应用安全防范的过程。
DVWA模块
十个
分类 |
---|
Brute Force 暴力(**) |
Command Injection (命令行注入) |
CSRF(跨站请求伪造) |
File Inclusion(文件包含) |
File Upload(文件上传) |
Insecure CAPTCHA(不安全的验证码) |
SQL Injection(SQL注入) |
SQL Injection(Blind)(SQL 盲注) |
XSS(Reflected)(反射型跨站脚本) |
XSS(Stored)(存储型跨站脚本) |
注意事项 :
DVWA 1.9的代码分为四种安全级别:
Low
,Medium
,High
,Impossible
。
初学者可以通过比较四种级别的代码,接触一些PHP代码审计
的内容。
一. 安装 DVWA
1.将 Apache ,PHP , MySQL配置好以后
将官网下载目录解压到 到一个文件夹 中,
配置Apache ,在其中再开一个端口 虚拟主机,用来支持 DVWA
- 首先在apache的配置目录下,修改ports.conf,该文件是apache监听端口 配置文件。
- 仿照
Listen 80
在其后添加了一句话Listen 8800
,让apache 打开8800
端口 监听 , - 该端口随后将 配置 于对 DVWA 的访问。
配置DVWA在apache中的VirtualHost
虚拟主机映射。
- 由目录 和
apache2.conf
可知 - 主配置文件为
apache2.conf
,mods
(启用 与 可启用) 为 模块配置文件夹 ,site
为 web 应用 虚拟主机配置
其余conf
如,apache编码
等其余配置 都在这个文件夹中
打开
sites-enabled文件夹
, 该文件夹下都是一些启用 的web应用
使用的虚拟主机的配置,
都是一些软连接
,其实际文件处于sites-avaiable文件夹
中 . (节省时间,和空间,方便启用)
所以我们 先打开主配置文件 将Directory
写进去 ,并修改为 DVWA 路径
后 按照 000-default.conf 默认配置文件
格式 配置DVWA
新建 一个 命名为dvwa.conf
的配置文件,复制默认配置文件中的主要代码, 并修改为 DVWA 路径 , 虚拟 主机端口
再执行’ln -s dvwa.conf ../site-enable/’ ,链接过去 ,完成配置
该虚拟主机用
DocumentRoot
指明了 web应用的根目录,
用<Directory >
指明了服务器
对目录/root/DVWA
的 访问权限
虚拟主机所处的端口为8800
(必须在全局配置(port.conf
)中 监听才可以)。
- 注:
- 因为某些文件夹和文件需要与服务器交互 ,所以需要有写的权限
需要让hackable/uploads/
以及/external/phpids/0.6/lib/IDS/tmp/phpids_log.txt
具有写权限。
这样的设置后,我们使用命令sudo a2ensite dvwa
即可启用web应用DVWA,随后sudo service apache2 reload
即可载入应用。
打开config
文件夹
修改config.inc.php.dist
文件
将 db_database
,db_user
,db_password
一 一 修改匹配,保存文件,打开对应网址