一、简介
DVWA是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助Web开发者更好的理解web应用安全防范的过程。
DVWA共有十个模块,分别是:
1.Brute Force(暴力破解)
2.Command lnjection(命令行注入)
3.CSRF(跨站请求伪造)
4.File lnclusion(文件包含)
5.File Upload(文件上传)
6.lnsecure CAPTCHA(不安全的验证码)
7.SQL lnjection(SQL注入)
8.SQL lnjection (Blind)(SQL盲注)
9.XSS (Reflected)(反射型跨站脚本)
10.XSS (Stored)(存储型跨站脚本)
包含了 OWASP TOP10 的所有攻击漏洞的练习环境,一站式解决所有 Web 渗透的学习环境。
另外,DVWA 还可以手动调整靶机源码的安全级别,分别为 Low,Medium,High,Impossible,级别越高,安全防护越严格,渗透难度越大。
二、下载地址
三、安装
①首先安装一个phpstudy_pro(俗称'小皮'),帮助我们完成一键部署。
注意:
- 安装路径不能包含“中文”或者“空格”,否则会报错(例如错误提示:Can't change dir to 'G:\x65b0\x5efa\x6587\)
- 保证安装路径是纯净的,安装路径下不能有已安装的V8版本,若重新安装,请选择其它路径
②打开phpstudy_pro进行以下配置。
1.点击网站,选择创建网站;
2.修改域名,例如:localhost;
3.根目录路径(可以参照我的路径,也可以自己选择,前提是在phpstudy_pro这个文件夹里面);
4.创建环境勾选hosts;
5.PHP版本选择建议不要选太新的版本,选择php5.6.9nts,一个比较好用的版本。
6.确认后点击首页,点击WNMP一键启动。
③解压下载好后的DVWA压缩包,放在上一步根目录的位置。(可以放在WWW下改名成DVWA,也可以像我一样直接放在phpstudy_pro路径下)
④打开浏览器访问127.0.0.1/dvwa 【windows系统 URL不区分大小写】
⑤打开dvwa文件夹下的config文件下
将文件复制粘贴到当前文件夹中,重命名将.dist后缀去掉。
⑥使用编辑器打开该文件,需要将db_user和db_password修改为对应数据库的用户名和密码。
注意第二项database默认是dvwa,这个根据自己选择更改,可以不改。
修改完成后保存退出。
⑦重新访问http://127.0.0.1/dvwa
注意:这里可能会出现访问不到的情况,可尝试重启小皮后再次访问;也有可能是浏览器出现问题,建议使用火狐或者谷歌浏览器进行访问。
⑧进入网页后可能会出现下图情况
框住的地方可能显示红色!
解决方法
修改完成保存,重新登录。
⑨滑动页面到最后,点击create/reset database 按钮
⑩用户登录
默认账号密码:账号—admin、密码—password
完结、撒花!
版权归原作者 入门小白鼠 所有, 如有侵权,请联系我们删除。