Dvwa的安装,小网站的漏洞资源库,这里先做Dvwa的安装,接下来会有Dvwa的漏洞查询方式说明。
DVWA(dema vulnerable web application)是一个基于PHP/MYSQL环境写的一个web应用。他的主要目的是帮助安全专业员去测试他们的技术和工具在合法的环境里面也帮助开发人员更好的理解如何加固他们开发的web系统同时帮助老师或者学生去教或者学习web应用安全在教学环境里面。如果你想学习web渗透测试测试遇见DVWA是你的幸运
1.安装环境
1、去百度下载xampp安装即可,Windows和Mac都可有。
2、到http://www.dvwa.co.uk下载dvwa的的zip压缩包。
一、安装 xampp,都选默认,然后下一步,知道安装完成,直接运行
二、配置dvwa
001、启动xampp,打开xampp的文件路径
002、将dvwa.zip文件解压并将文件名修改为dvwa,将文件拷贝到XAMPP安装目录下的\xampp\htdocs目录下
003、通过xampp的控制台启动XAMPP的apache和mysql服务
004、测试安装,
通过浏览器输入:http://127.0.0.1进行访问,如图显示,则成功
005、配置数据库
在该页面点击这里进入数据库
006、进入数据库,显示如图,然后点击用户账户创建新用户:
007、配置用户信息并点击右下的执行
008、配置DVWA,修改配置文件
到刚才配置的文件下找到此文件,并修改,修改后将文件重命名为:config.inc.php
可用vim进行打开文件并修改,改完以后记得重命名
vim /Applications/XAMPP/xamppfiles/htdocs/dvwa/config/config.inc.php.dist
按如下格式修改 localhost和127.0.0.1一样
009、初次使用,初始化数据库
打开浏览器访问http://127.0.0.1/dvwa/
点击按钮初始化数据库,如图显示即为成功
OK之后再次访问此地址,进入登录界面
默认的登陆账号信息为
Username: admin
Passwod:password
010、如图显示即为配置成功,接下来就是十大漏洞测试
三、 DVWA上的漏洞列表
DVMA正如他的名字一样是一个包含了很多漏洞的应用系统。DVWA的漏洞包括了OWASP oepen web application security project的web 10大漏洞。这里提一下Owasp top10 2010年发布的数据
The OWASP Top 10 Web ApplicationSecurity Risks for 2010 are:
A1: Injection // 注入漏洞
A2: Cross-Site Scripting (XSS) //跨站脚本
A3: Broken Authentication and Session Management //错误的授权和会话管理
A4: Insecure Direct Object References //不正确的直接对象引用
A5: Cross-Site Request Forgery (CSRF)//伪造跨站请求
A6: Security Misconfiguration//安全性错误配置
A7: Insecure Cryptographic Storage//不安全的加密存储
A8: Failure to Restrict URL Access//未验证的重定向和传递
A9: Insufficient Transport Layer Protection//不足的传输层防护
A10: Unvalidated Redirects and Forwards//无效的重定向和转发
接下来会一一进行测试并附详细步骤
