1 DVWA 简介
DVWA(Damn Vulnerable Web App)是一个基于 “PHP + MySQL” 搭建的Web应用程序,皆在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助Web开发者更好地理解Web应用安全防范的过程
DVWA 一共包括十个模块:
(1)Bruce Force,暴力破解。
(2)Command Injection,命令注入。
(3)CSRF,跨站请求伪造。
(4)File Inclusion,文件包含。
(5)File Upload,文件上传漏洞。
(6)Insecure CAPTCHA,不安全的验证。
(7)SQL Injection,SQL注入。
(8)SQL Injection(Blind),SQL注入(盲注)。
(9)XSS(Reflected),反射型XSS。
(10)XSS(Stored),存储型XSS。
每个模块包含四种难度等级:Low、Medium、High、Impossible,通过从低难度到高难度的测试,并参考代码的变化,可帮助读者更快地理解漏洞的原理。
2 DVWA 安装
从 DVWA 中下载DVWA 安装包 DVWA-master.zip ,首先安装好 PHPStudy 或其他集成环境,其步骤如下:
步骤01、
启动PHPStudy平台的Apache和MySQL服务,如图所示。
步骤02、
将DVWA-master.zip文件解压并将文件名修改为dvwa,将文件复制到PHPStudy平台的\phpstudy\www 目录下,如图所示。
步骤03、
将dvwa/config/ 目录下的文件config.inc.php.dist 复制一份,并重命名为config.inc.php,并将$_DVWA[‘db_password’] 设置为 root、$_DVWA[‘db_user’] 设置为 root、$_DVWA[‘db_port’] 设置为3306,如图所示。
步骤04、
在浏览器中访问http://localhost/dvwa,进入DVWA的安装界面,如图所示。
步骤05、
单击create/reset database 按钮,执行结果如图所示,表示安装成功。
步骤06、
安装程序自动跳转到DVWA的登录界面,单击login 打开登录界面,默认的账号信息为:Username:admin;Password:password,输入账号密码,如图所示。
步骤07、 单击Login 按钮,登录成功,如图所示。
