帮酷LOGO
  • 显示原文与译文双语对照的内容
文章标签:Web应用  WEB  DAM  
Damn Vulnerable Web Application

  • 源代码名称:DVWA
  • 源代码网址:http://www.github.com/ethicalhack3r/DVWA
  • DVWA源代码文档
  • DVWA源代码下载
  • Git URL:
    git://www.github.com/ethicalhack3r/DVWA.git
  • Git Clone代码到本地:
    git clone http://www.github.com/ethicalhack3r/DVWA
  • Subversion代码到本地:
    $ svn co --depth empty http://www.github.com/ethicalhack3r/DVWA
    Checked out revision 1.
    $ cd repo
    $ svn up trunk
  • 脆弱的WEB应用程序

    死的脆弱的Web应用程序( DVWA ) 是一个非常脆弱的PHP/MySQL 网络应用程序。 公司的主要目标是帮助安全专家在法律环境中测试他们的技能和工具,帮助网络开发人员更好地理解网络应用程序,并帮助学生在受控的教室环境中学习网络应用安全性。

    DVWA的目标是收费一些最常见的网站漏洞,并使用简单的简单界面,为的各种困难级别加上。 请注意,这个软件有的文档和没有文档记录的漏洞 。 有意的。鼓励你尝试发现尽可能多的问题。

    警告警告

    死的脆弱的网络应用程序 ! 如果你的主机文件夹或者任何面向Internet的服务器都不在你的托管服务器上,那么它们将不会被上载到你的主机上。 建议使用虚拟机( 例如 或者 。),它被设置为NAT网络模式。 inside,你可以下载并安装 XAMPP 用于web服务器和数据库。

    免责声明

    我们不负责任何人使用这个应用程序( DVWA )的方式。 我们已经明确了应用程序的目的,它不应该恶意使用。 我们已经经给出警告并采取措施防止用户将DVWA安装到实时web服务器。 如果你的web服务器通过安装DVWA来安装,那不是我们负责上载和安装它的人职责。

    许可证

    这里文件是该死的Web应用程序( DVWA )的一部分。

    死的脆弱的Web应用程序( DVWA ) 是自由软件: 可以在自由软件基金会发布或者修改的条件下重新发布它,如许可证版本 3,许可证版本或者更高版本的版本。

    分布式应用程序( DVWA ) 是分布式的,希望它是有用的,但没有任何保证。 参看GNU通用公共许可来获得更多细节。

    你应该收到一个GNU通用许可证的副本,而且有非常脆弱的Web应用程序。 如果没有,请参见 http://www.gnu.org/licenses/

    下载并安装为 Docker 容器

    请确保你正在使用 aufs,因为以前的MySQL问题。 运行 docker info 以检查存储驱动程序。 如果不是 aufs,请将它的更改为。 每个操作系统有关如何这样做的指南,但是它们是相当不同的,因这里我们不会覆盖这里。

    下载

    DVWA可以以作为将在你自己的web服务器上运行或者作为活动CD运行的软件包:

    • DVWA v1.9源( 稳定) [1.3 MB] 下载邮编 2015-10-05
    • DVWA v1.0.7 LiveCD [480 MB] 下载 ISO release 2010-09-08
    • DVWA开发源( 最新) 下载 ZIP// git clone https://github.com/ethicalhack3r/DVWA

    安装

    请确认你的配置/config 。php文件存在。 只有 Having config.inc. php.dist 不够,你必须编辑它以适应你的环境并将它的重命名为 config.inc. php 。 Windows 可能隐藏尾部扩展名。

    安装视频

    • 如何在 Ubuntu [21:01 minutes ] 上设置 DVWA ( 该死的网络应用)
    • 在 Windows 10 [12:39 minutes ] 上安装该死的易受攻击的Web应用程序( DVWA )

    Windows + XAMPP

    如果你还没有安装 web,那么安装并安装DVWA的最简单方法就是下载和安装 XAMPP 。

    XAMPP对于 Linux 。Solaris 。Windows 和 Mac OS X 来说是非常容易安装的Apache发行版。 软件包包括Apache服务器。MySQL 。PHP 。Perl 。FTP服务器和 phpMyAdmin 。

    XAMPP可以从以下位置下载: https://www.apachefriends.org/en/xampp.html

    解压 dvwa.zip, 将解压的文件放在你的public 文件夹中,然后指向你的浏览器: http://127.0.0.1/dvwa/setup.php

    Linux包

    如果使用基于Debian的Linux发行版,你将需要安装以下软件包 ( 或者等价的):

    apt-get -y install apache2 mysql-server php php-mysqli php-gd

    数据库设置

    要设置数据库,只需单击主菜单中的Setup DVWA 按钮,然后单击 Create/Reset Database 按钮。这将为你创建/重置数据库,其中包含。

    如果在创建数据库时收到错误,请确保在 ./config/config.inc.php 中的数据库凭据正确。 与 config.inc. 。dist不同,它是一个示例文件。

    默认情况下,变量设置为以下值:

    $_DVWA[ 'db_user' ] ='root';$_DVWA[ 'db_password' ] ='p@ssw0rd';$_DVWA[ 'db_database' ] ='dvwa';

    注意,如果你使用的是,而不是( MariaDB在Kali中的默认值),那么你就不能使用数据库 root 用户了。 为此,请以 root 用户的身份连接数据库,然后使用以下命令:

    mysql> create database dvwa;
    Query OK, 1 row affected (0.00 sec)
    mysql>grant all on dvwa.* to dvwa@localhost identified by 'xxx';
    Query OK, 0 rows affected, 1 warning (0.01 sec)
    mysql> flush privileges;
    Query OK, 0 rows affected (0.00 sec)

    其他配置

    根据你的操作系统以及PHP版本,你可能希望更改缺省配置。 文件的位置在每个机器基础上都是不同的。

    文件夹权限:

    • ./hackable/uploads/ - 需要由web服务( 文件上传) 写入。
    • ./external/phpids/0.6/lib/IDS/tmp/phpids_log.txt - 需要由web服务( 如果你希望使用 PHPIDS ) 编写。

    PHP配置:

    • allow_url_include = on - 允许远程文件包含( RFI ) [ allow_url_include ]
    • allow_url_fopen = on - 允许远程文件包含( RFI ) [ allow_url_fopen ]
    • safe_mode = off - ( 如果 PHP <= v5.4 ) 允许 SQL注入 ( SQLi ) [ safe_mode ]
    • magic_quotes_gpc = off - ( 如果 PHP <= v5.4 ) 允许 SQL注入 ( SQLi ) [ magic_quotes_gpc ]
    • display_errors = off - ( 可选) 隐藏了PHP警告消息,使它的更为详细的[ display_errors ]

    文件:config/config.inc.php:

    默认凭据

    默认用户名= admin

    默认密码= password

    。可以很容易地 be ;)

    登录网址:http://127.0.0.1/dvwa/login.php

    故障排除

    有关最新的疑难解答信息,请访问: https://github.com/ethicalhack3r/DVWA/issues

    +Q 。SQL注入 无法在 PHP v5.2.6上工作。

    -A.If 你正在使用 PHP v5.2.6或者 above,为了使 SQL注入 和其他漏洞生效,你需要执行以下操作。

    .htaccess 中:

    替换( 请注意,它可能表示 mod_php7 ):

    <IfModulemod_php5.c>php_flagmagic_quotes_gpcoff#php_flag allow_url_fopen on#php_flag allow_url_include on</IfModule>

    使用:

    <IfModulemod_php5.c>magic_quotes_gpc=Offallow_url_fopen=Onallow_url_include=On</IfModule>

    +Q命令注入将不起作用。

    -A 。Apache可能没有足够的权限在web服务器上运行命令。 如果在Linux下运行 DVWA,请确保你已经以 root 身份登录。 以管理员身份登录 Windows 。

    链接

    主页:http://www.dvwa.co.uk/

    项目主页:https://github.com/ethicalhack3r/DVWA

    由DVWA团队创建。



    文章标签:WEB  Web应用  DAM  

    Copyright © 2011 HelpLib All rights reserved.    知识分享协议 京ICP备05059198号-3  |  如果智培  |  酷兔英语