文章目录
1 DVWA 简介
DVWA(Damn Vulnerable Web App)是一个基于 “PHP + MySQL” 搭建的Web应用程序,皆在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助Web开发者更好地理解Web应用安全防范的过程
DVWA 一共包括十个模块:
(1)Bruce Force,暴力破解。
(2)Command Injection,命令注入。
(3)CSRF,跨站请求伪造。
(4)File Inclusion,文件包含。
(5)File Upload,文件上传漏洞。
(6)Insecure CAPTCHA,不安全的验证。
(7)SQL Injection,SQL注入。
(8)SQL Injection(Blind),SQL注入(盲注)。
(9)XSS(Reflected),反射型XSS。
(10)XSS(Stored),存储型XSS。
每个模块包含四种难度等级:Low、Medium、High、Impossible,通过从低难度到高难度的测试,并参考代码的变化,可帮助读者更快地理解漏洞的原理。
2 DVWA 安装
从 DVWA 中下载DVWA 安装包 DVWA-master.zip
,首先安装好 PHPStudy 或其他集成环境,其步骤如下:
步骤01、
启动PHPStudy平台的Apache和MySQL服务,如图所示。
步骤02、
将DVWA-master.zip
文件解压并将文件名修改为dvwa
,将文件复制到PHPStudy平台的\phpstudy\www
目录下,如图所示。
步骤03、
将dvwa/config/
目录下的文件config.inc.php.dist
复制一份,并重命名为config.inc.php
,并将$_DVWA[‘db_password’]
设置为 root
、$_DVWA[‘db_user’]
设置为 root
、$_DVWA[‘db_port’]
设置为3306
,如图所示。
步骤04、
在浏览器中访问http://localhost/dvwa
,进入DVWA的安装界面,如图所示。
步骤05、
单击create/reset database
按钮,执行结果如图所示,表示安装成功。
步骤06、
安装程序自动跳转到DVWA的登录界面,单击login
打开登录界面,默认的账号信息为:Username:admin
;Password:password
,输入账号密码,如图所示。
步骤07、 单击Login
按钮,登录成功,如图所示。