DVWA简介
DVWA(Damn Vulnerable Web App)是一个基于PHP/MySql搭建的Web应用程序,旨在为安全专业人员测试自己的专业技能和工具提供合法的 环境,帮助Web开发者更好的理解Web应用安全防范的过程。
DVWA一共包含十个模块分别是:
1.Bruce Force 暴力破解
2.Command Injection 命令注入
3.CSRF 跨站请求伪造
4.File Inclusion 文件包含
5.File Upload 文件上传漏洞
6.Insecure CAPTCHA 不安全的验证
7.SQL Injection sql注入
8.SQL Injection(Blind) sql注入(盲注)
9.XSS(Reflected) 反射型XSS
10.XSS(Stored) 存储型XSS
同时每个模块的代码都有4种安全等级:Low、Medium、High、Impossible。通过从低难度到高难度的测试并参考代码变化可帮助学习者更快的理解漏洞的原理。
DVWA的搭建
DVWA是由PHP代码开发的,所以需要先搭建PHP运行环境。这里我们将采用PhpStudy来进行搭建环境,其集成了最新的Apache和PHP等程序,同时自带了phpMyadmin的管理工具和MySQL数据库,非常方便。
PhpStudy官方暂时无法下载,可后台回复“phpstudy”获取安装包
下载完后双击压缩包中的应用程序
选择路径,这里我存储在D盘中
然后就安装成功了
点击启动,然后打开浏览器输入本地IP地址或者127.0.0.1,若显示hello world 则安装成功。
接下来安装DVWA
DVWA官方下载地址:www.dvwa.co.uk
点击右上角的githup
往下翻到Download这里下载DVWA 最新版(其他版本也可以)
将其解压到PHPstudy路径下的PHPTutorial下的WWW目录下
解压后进入DVWA下的config文件打开config.inc.php文件
将p@ssw0rd 修改为 root
然后在浏览器中访问http://自己电脑IP/DVWA目录/setup.php,然后点击网站下方的Create/Reset Database按钮。
接着会跳转到DVWA的登录页面默认用户名:admin 默认密码:password 成功登录
则DVWA部署成功
