學習滲透測驗,特別是 Web 滲透,最頭疼的無疑就是尋找靶機環境,通常是不同的漏洞需要找不同的靶機原始碼,而不同的原始碼通常 Web 架構又不一樣,所以要找到一套能夠練習所有 Web 滲透技巧的靶機環境,經常需要搭建 N 個 Web站點,無疑大大提高了學習的入門門檻,
DVMA簡介
DVWA(Damn Vulnerable Web Application)是一個用來進行安全脆弱性鑒定的PHP/MySQL Web 應用,旨在為安全專業人員測驗自己的專業技能和工具提供合法的環境,幫助web開發者更好的理解web應用安全防范的程序,
DVWA 一共包含了十個攻擊模塊,分別是:Brute Force(暴力破解)、Command Injection(命令列注入)、CSRF(跨站請求偽造)、File Inclusion(檔案包含)、File Upload(檔案上傳)、Insecure CAPTCHA (不安全的驗證碼)、SQL Injection(SQL注入)、SQL Injection(Blind)(SQL盲注)、XSS(Reflected)(反射型跨站腳本)、XSS(Stored)(存盤型跨站腳本),包含了 OWASP TOP10 的所有攻擊漏洞的練習環境,一站式解決所有 Web 滲透的學習環境,
另外,DVWA 還可以手動調整靶機原始碼的安全級別,分別為 Low,Medium,High,Impossible,級別越高,安全防護越嚴格,滲透難度越大,一般 Low級別基本沒有做防護或者只是最簡單的防護,很容易就能夠滲透成功;而 Medium 會使用到一些非常粗糙的防護,需要使用者懂得如何去繞過防護措施;High級別的防護則會大大提高防護級別,一般 High級別的防護需要經驗非常豐富才能成功滲透;最后 Impossible 基本是不可能滲透成功的,所以 Impossible的原始碼一般可以被參考作為生產環境 Web 防護的最佳手段 ,
DVWA 安裝
安裝 phpstudy
下載 phpstudy 最新版(根據作業系統選擇 32 位或者 64 位),下載地址:
下載之后,就是傻瓜式下一步下一步,特別注意路徑中不能包含有中文字符,安裝好以后啟動 Apache, 默認埠 80,
瀏覽器輸入http://localhost/即可訪問, 看到"站點創建成功", 即代表 Apache 安裝啟動成功,那么運PHP環境就已經準備好了,
下載并解壓DVMA
把下載解壓后的代碼放在 PHPStudy 的 WWW 路徑下,如下圖:
注意:把 DVWA 檔案夾放在 WWW 下面,不能再嵌套檔案夾,也不能直接把代碼檔案放在 WWW 目錄下
添加網站
打開 phpstudy,添加網站,這一步除了填寫域名,其他的都不用改,域名跟上一步的檔案夾名字一致,會自動填充根目錄,
部署成功以后 Apache 會自動重啟,訪問地址:http://localhost/dvwa 或者:http://dvwa/
初始化資料庫
修改組態檔:WWW\DVWA\config\config.inc.php
如果沒有這個檔案,把 config.inc.php.dist 復制一份,改名為config.inc.php
修改 IP、庫名(默認 dvwa 不用改)、用戶名、密碼、埠
打開首頁http://localhost/dvwa
點擊最下方的 Create /Reset Database 初始化資料庫
登錄
初始化以后可以登錄,http://localhost/dvwa
默認用戶名和密碼是 admin / passoword
設定安全級別
在左下方 Security 選單設定安全級別,不同安全級別的生效代碼不一樣,選擇以后 submit
寫在最后
創作不易,如果覺得內容對你有所幫助,麻煩給個小愛心支持一下,你的支持是我堅持創作的最大動力!如果有錯誤或者其他問題歡迎在評論去留言,更多內容可以關注我的個人公眾號"攻城獅成長日記",
本文來自博客園,作者:北根娃,轉載請注明原文鏈接:https://www.cnblogs.com/alanlin/p/16502330.html
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/499982.html
標籤:其他