Dvwa là gì

     

Giới thiệu DVWA:

Damn Vulnerable website Application (DVWA) là 1 trong những ứng dụng mã mối cung cấp PHP/MySQL tập thích hợp sẵn các lỗi xúc tích về bảo mật thông tin ứng dụng web trong mã mối cung cấp PHP. Lỗi xúc tích khi lập trình hoàn toàn có thể áp dụng so với các loại ngữ điệu lập trình nhằm mục tiêu giảm thiểu kĩ năng tạo ra lổ hổng bảo mật thông tin từ tứ duy lập trình chưa cẩn thận.

Bạn đang xem: Dvwa là gì

*
DVWA
Mục tiêu chủ yếu của DVWA kia là tạo nên một môi trường thiên nhiên thực hành pentest hợp pháp. Giúp cho những nhà phát triển ứng dụng web hiểu hơn về hoạt động lập trình an toàn và bảo mật thông tin hơn. Dường như DVWA cũng hỗ trợ cho những pentester cách thức học và thực hành tấn công khai minh bạch thác lỗi bảo mật thông tin ứng dụng web tại mức cơ phiên bản và nâng cao.Dự án DVWA đã có được khai sinh từ tháng 12/2008 và phát triển rất nhanh chóng cũng tương tự sớm nổi tiếng.

Cảnh báo sử dụng:

DVWA có chứa nhiều lỗ hổng bảo mật thông tin ở nhiều hạng mục vì vậy không nên sử dụng public như upload lên hệ thống nhà cung cấp hosting xuất xắc web server điều khiển xe trên Internet. Vì chưng sẽ dẫn đến nguy cơ tiềm ẩn bị kẻ xấu khai quật trực tiếp hệ thống VPS/Hosting qua những lổ hổng thực hành thực tế này. Cũng chính vì thế chúng ta chỉ nên setup ở môi trường xung quanh nội cỗ như máy chủ ảo (VPS) xuất xắc Web vps local (Localhost).

Môi trường thiết lập đặt:

DVWA là vận dụng mã mối cung cấp PHP cùng Cơ Sở dữ liệu là MySQL, nên bạn có thể cài đặt thương mại dịch vụ XAMPP bên trên cả Linux hoặc Windows để tạo môi trường thực hành cấp tốc chóng. Hoặc bạn có thể cài đặt khối hệ thống web server LAMP/LEMP bên trên CentOS/Ubuntu để thực hành.Các lổ hổng trong DVWA:Khi bạn thực hành thực tế với DVWA, các bạn sẽ có số đông nhóm lổ hổng bảo mật như sau:
Brute ForceCommand ExecutionCross Site Request Forgery (CSRF)File InclusionSQL InjectionInsecure tệp tin UploadCross Site Scripting (XSS)Easter eggsCác nấc độ bảo mật thông tin trong DVWA:DVWA cung cấp 3 mức độ bảo mật tương xứng 3 cấp độ để bạn thực hành từ dễ cho đến khó có :High - nấc cao nhất: cấp độ này gần như là level dùng làm so sánh mã nguồn bao gồm lổ hổng ở tại mức low với medium cùng với mã nguồn vẫn được về tối ưu ngơi nghỉ mức bình yên bảo mật.Medium - nút trung bình: cường độ này hỗ trợ nội dung logic code đang fix lổ hổng cơ phiên bản ở khuôn khổ mức low.Low - mức độ thấp nhất: với khoảng độ low thì mã mối cung cấp PHP gân như phơi bày kỹ năng khai thác lổ hổng qua tứ duy lập trình không bao quát vụ việc bảo mật.Đối với từng trang thực hành bảo mật sẽ luôn có nút view source. Nút này được sử dụng để xem nội dung source code của những mức bảo mật thông tin ứng mổi hạng mục, để từ đó chúng ta cũng có thể so sánh, đánh giá lý do tại sao mã mối cung cấp này lại phơi bày ra lổ hổng bảo mật như vậy.

Hướng dẫn thiết đặt DVWA:

Như đã nhắc đến ở trên bạn đề xuất một sản phẩm chủ rất có thể chạy được PHP với MySQL để bắt đầu.Tải về mã mối cung cấp DVWA:Bạn rất có thể tải trực tiếp trên đây, hoặc cần sử dụng git:<>$ git clonehttps://github.com/ethicalhack3r/DVWA.git<>Sau kia chép cục bộ nội dung vào folder website trên trang bị bạn.Tạo một cơ sở dữ liệu trống:Để tạo nên một cơ sở tài liệu mới chúng ta cũng có thể dùng phpMyAdmin hoặc câu lệnh SQL:<>sql> CREATE DATABASE dvwadata;<><>sql> GRANT ALL PRIVILEGES ON dvwadata.* lớn "dvwauser"
"localhost" IDENTIFIED BY "dvwapass";<>Giải thích: (Bạn tất cả thể biến hóa câu lệnh tuỳ ý)dvwadata là tên database.dvwauser là tên thông tin tài khoản mysql.localhost là showroom máy chủ mysql.dvwapass là mật khẩu của tài khoản ở trên.Cấu hình liên kết cơ sở dữ liệu:Ví dụ folder website là <>/var/www/html/<>vậy bạn hãy mở tệp tin <>/var/www/html/config/config.inc.php.dist<> lên, hãy tìm và sửa đổi đoạn sau:<>$_DVWA< "db_server" > = "localhost";$_DVWA< "db_database" > = "dvwadata";$_DVWA< "db_user" > = "dvwauser";$_DVWA< "db_password" > = "dvwapass";<>Sau đó đổi tên từ <>config.inc.php.dist<> thành <>config.inc.php<> nhé ;)Cấu hình PHP.ini:Bạn hãy thêm phần lớn dòng này vào thời gian cuối file php.ini ở thư mục <>/var/www/html/<> với thư mục thông số kỹ thuật PHP nhé:<>allow_url_include = onallow_url_fopen = onsafe_mode = offmagic_quotes_gpc = offdisplay_errors = off<>Các cấu hình khác:Ngoài ra thì trong tệp tin <>config.inc.php<> ta còn có một số cấu hình khác như:Thay thay đổi từ MySQL sang PostgreSQL, chúng ta chỉ cần biến đổi dấu <>#<> làm việc hai loại này:<># Database management system khổng lồ use$DBMS = "MySQL";#$DBMS = "PGSQL"; // Currently disabled<>Thay đổi port mang lại khi thực hiện PostgreSQL:<># Only used with PostgreSQL/PGSQL database selection.$_DVWA< "db_port "> = "5432";<>
Sử dụng ReCAPTCHA vào hệ thống, bạn cần vào trang tạo thành khoá ReCAPTCHA để lấy 2 khoá public với private rồi điền vào đây:
<># ReCAPTCHA settings# Used for the "Insecure CAPTCHA" module# You"ll need to generate your own keys at: https://www.google.com/recaptcha/admin/create$_DVWA< "recaptcha_public_key" > = "";$_DVWA< "recaptcha_private_key" > = "";<>
Tiến hành download đặt:Bạn hãy truy cập vào website của người sử dụng với đường truyền <>setup.php<>. Ví dụ:<>http://example.com/setup.php<>Ấn vào nút Create/Reset Database
. Để tiến hành nạp data từ bỏ động.
*
Cài đặt DVWA.

Xem thêm: Phun Xăm Môi Kiêng Gì Trong Bao Lâu Sau Khi Xăm Môi? Kiêng Bao Lâu

Như vậy là đã setup xong rồi đấy!Bạn hãy vào đường dẫn <>login.php<> để đăng nhập và ban đầu hack thôi.
*
Trang đăng nhập.
Tài khoản cùng mật khẩu phương diện định là admin/password
.
*
Bảng điều khiển.

Xem thêm: Làm Cách Nào Để Hạ Ios 9.1 Xuống Ios 9, Làm Cách Nào Để Hạ Cấp Từ Ios 9

Lời kết:

Mình khuyên chúng ta nên thực hiện mã nguồn này nhằm học và thực hành thực tế pentest nhé, vì nếu triển khai trên những website bao gồm thể các bạn sẽ bị bám líu cho tới pháp luật. Cơ mà nếu "lỡ" thì đừng bao gồm khai The Kali Tools ra nhé =)).