DVWA是一款基于PHP和MYSQL开发的web靶场练习平台,集成了常见的web漏洞如sql注入,XSS,密码破解等常见漏洞。旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
DVWA共有十个模块:
Brute Force(暴力(破解))
Command Injection(命令行注入)
CSRF(跨站请求伪造)
File Inclusion(文件包含)
File Upload(文件上传)
Insecure CAPTCHA (不安全的验证码)
SQL Injection(SQL注入)
SQL Injection(Blind)(SQL盲注)
XSS(Reflected)(反射型跨站脚本)
XSS(Stored)(存储型跨站脚本)
一般情况下,DVWA一共有四种安全级
Low、Medium、High、Impossible
# Github项目地址:
https://github.com/digininja/DVWA
可以在很多系统中搭建DVWA,kali搭建是最简单的,因为kali内置了apache、mysql、php环境,不用自己去安装这些基础环境,可以直接拉取github的项目文件到kali系统,配置好数据库,启动apache2即可。以下步骤也是按照官网提示来操作。
Github项目说明里面也提供了安装教学视频,由于是Youtube上的视频,可能很多小伙伴都看不了,我下载上传了,有兴趣的可以看看视频(全程英文无字幕)。
# 视频下载地址
https://oss.cztcms.cn/blog/videos/Installing_DVWA_in_Kali_Linux_2.mp4
先将DVWA项目克隆到本地,如果有图上的报错,也可以手动下载压缩包,在上传到kali系统。
git clone https://github.com/digininja/DVWA.git
/var/www/html/下,这个目录是apache2网站的根目录,可以使用http://ip/DVWA访问资源。mv DVWA /var/www/html/
apache2;kali系统默认不会启动apache2,需要手动启动。# 查看启动状态
service apache2 status
# 启动apache2
service apache2 start
http://1227.0.0.1,如果看到下图,证明apache2启动成功。
mariadb,启动方式和apache2一样。# 查看启动状态
service mariadb status
# 启动mariadb
service mariadb start
mysql,第一次登录无需密码。
DVWA的数据库,因为数据库用户不能直接使用root,所以也需要新建一个数据库用户用来管理DVWA库。这里创建的用户名是dvwa,密码是p@ssw0rd,和默认配置文件保持一致。# 创建数据库dvwa
create database dvwa;
# 创建数据库用户dvwa,密码是p@ssw0rd
create user dvwa@localhost identified by 'p@ssw0rd';
# 分配权限,可以远程登录
grant all on dvwa.* to dvwa@localhost;
# 刷新权限
flush privileges;
# 到/var/www/html/DVWA目录下
cd /var/www/html/DVWA
# 重命名配置文件
cp config/config.inc.php.dist config/config.inc.php
浏览器访问http://127.0.0.1/dvwa/setup.php,点击左下角的Create/Reset Database进行数据库初始化。
用户名:admin
密码:password
