DVWA简介

DVWA（Damn Vulnerable Web Application）是一个用来进行代码安全测试的PHP/MySQL Web应用

可以用来 测试 工具 ，也可以 理解web应用安全防范的过程。

DVWA模块

十个

分类
Brute Force 暴力（**）
Command Injection （命令行注入）
CSRF（跨站请求伪造）
File Inclusion（文件包含）
File Upload（文件上传）
Insecure CAPTCHA（不安全的验证码）
SQL Injection（SQL注入）
SQL Injection（Blind）（SQL 盲注）
XSS（Reflected）（反射型跨站脚本）
XSS（Stored）（存储型跨站脚本）

注意事项 :

DVWA 1.9的代码分为四种安全级别：Low，Medium，High，Impossible。
初学者可以通过比较四种级别的代码，接触一些PHP代码审计的内容。

一. 安装 DVWA

1.将 Apache ,PHP , MySQL配置好以后

将官网下载目录解压到 到一个文件夹 中,

配置Apache ,在其中再开一个端口 虚拟主机,用来支持 DVWA

• 首先在apache的配置目录下，修改ports.conf，该文件是apache监听端口 配置文件。
• 仿照Listen 80在其后添加了一句话Listen 8800，让apache 打开8800端口 监听 ，
• 该端口随后将 配置 于对 DVWA 的访问。
  

配置DVWA在apache中的VirtualHost虚拟主机映射。

由目录 和 apache2.conf可知

主配置文件为 apache2.conf , mods(启用 与 可启用) 为 模块配置文件夹 , site 为 web 应用 虚拟主机配置
其余conf 如,apache编码等其余配置 都在这个文件夹中

打开 sites-enabled文件夹 , 该文件夹下都是一些启用 的 web应用使用的虚拟主机的配置，
都是一些 软连接，其实际文件处于sites-avaiable文件夹中 . (节省时间,和空间,方便启用)

所以我们 先打开主配置文件 将Directory 写进去 ,并修改为 DVWA 路径

后 按照 000-default.conf 默认配置文件 格式 配置DVWA
新建 一个 命名为dvwa.conf 的配置文件，复制默认配置文件中的主要代码, 并修改为 DVWA 路径 , 虚拟 主机端口

再执行’ln -s dvwa.conf ../site-enable/’ ,链接过去 ,完成配置

该虚拟主机用DocumentRoot指明了 web应用的根目录，
用<Directory >指明了 服务器 对目录 /root/DVWA的 访问权限
虚拟主机所处的端口为8800 (必须在全局配置(port.conf)中 监听才可以)。

注:

因为某些文件夹和文件需要与服务器交互 ,所以需要有写的权限
需要让hackable/uploads/以及/external/phpids/0.6/lib/IDS/tmp/phpids_log.txt具有写权限。

这样的设置后，我们使用命令sudo a2ensite dvwa即可启用web应用DVWA，随后sudo service apache2 reload即可载入应用。

打开config文件夹

修改config.inc.php.dist文件

将 db_database,db_user,db_password 一 一 修改匹配,保存文件,打开对应网址