华为云从入门到实战 | WAF应用与部署

XAMPP(Apache+MySQL+PHP+PERL)是一个功能强大的建站集成软件包。它可以在Windows、Linux、Solaris、MacOS X 等多种操作系统下安装使用。XAMPP下载地址为https://sourceforge.net/projects/xampp/。

DVWA(Damn Vulnerable Web App)是一个基于PHP/MySQL搭建的Web应用程序，旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助Web开发者更好地理解Web应用安全防范的过程。DVWA可以说是一个Web安全渗透测试平台。DVWA的下载地址是“https://github.com/ethicalhack3r/DVWA”。如果下载地址更新，请详见前言二维码。

远程登录ECS，将下载好的压缩文件解压到一个新的文件夹中，命名为DVWA-master，再把DVWA-master文件夹复制到C:＼xampp＼htdocs目录下，如图10-12所示。

到C:＼xampp＼htdocs＼DVWA-master＼config文件夹下，将config.inc.php.dist文件名改为config.inc.php， 并用记事本打开config.inc.php文件，将db_password的值设置为空,即没有密码，将db_user修改为root，如图10-13所示。

打开ECS浏览器，在地址栏中输入“http://127.0.0.1/DVWA-master/login.php”并访问，弹出安装DVWA界面，如图10-14所示。

在图10-14所示的界面下方单击Create/Reset Database按钮，即可完成DVWA的安装，如果提示错误，请检查MySQL服务是否开启以及DVMA配置文件是否正确修改，安装完成后，会显示如图10-15所示界面。

DVWA安装成功后会自动跳转到登录界面，如图10-16所示。输入默认的用户名及密码（用户名为admin，密码为password），登录应用程序。

登录DVWA应用后，可以设置安全级别，共有4个难度，分别是Low、Medium、High和Impossible。此处取值样例为Low（最低难度），如图10-17所示。

到此为止，已成功部署一个Web渗透测试环境，可以在客户端本地访问http://弹性IP/DVWA-master/地址使用渗透测试平台了。如果不能访问，请检查云服务器的安全组相关设置或关闭ECS的Windows防火墙。