DVWA 是 OWASP 官方供应的一个做渗透测试的平台,由于 DVWA 是基于PHP措辞编写的,因此我们须要支配一套Web环境。如果你本地没有 CentOS 系统虚拟机,可在本地安装phpstudy这个软件,它集成了常见Web环境,例如:Apache、Nginx等。
DVWA共有十个模块,分别是:
Brute Force(暴力(破解)Command Injection(命令行注入)CSRF(跨站要求假造)File Inclusion(文件包含)File Upload(文件上传)Insecure CAPTCHA (不屈安的验证码)SQL Injection(SQL注入)SQL Injection(Blind)(SQL盲注)XSS(Reflected)(反射型跨站脚本)XSS(Stored)(存储型跨站脚本)同时每个模块的代码都有4种安全等级:Low、Medium、High、Impossible。通过从低难度到高难度的测试并参考代码变革可帮助学习者更快的理解漏洞的事理。操作前期准备紧张有四步,分别为:
本地虚拟机中已安装 CentOS8 系统(安装过程忽略);CentOS8 中已支配宝塔Linux掌握面板(安装过程忽略);实体机hosts文件中已进行域名解析(192.168.18.128 dvwa.defcon.cn);下载DVWA程序(https://github.com/ethicalhack3r/DVWA/archive/master.zip)并上传到宝塔面板后台。
紧接着修处死式中config.icn.php.dist文件,首先重命名为config.icn.php 然后打开该文件夹,设置数据库用户名和密码(宝塔面板后台查询),然后在浏览器中访问dvwa.defcon.cn 点击网页底部的”Create/Reset Database",就可以安装了。
安装完成后,会自动跳转dvwa的上岸页,输入用户名:admin 密码:password 就可以进入平台,现在进行安全测试吧。