DVWA(Damn Vulnerable Web App)是一个基于PHP/MySql搭建的Web应用程序,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助Web开发者更好的理解Web应用安全防范的过程。
Vulnerable易受傷的;易受影響(或攻擊)的;脆弱的。
Damn:该死的
DVWA是一款开源的渗透测试漏洞练习平台,其中内含XSS,SQL注入、文件上传、文件包含、CSRF和暴力破解等各个难度的测试环境。
下载地址: /ethicalhack3r/DVWA
DVWA的目标是通过简单直接的界面练习一些最常见的Web漏洞,具有各种难度。请注意,此软件存在记录和未记录的漏洞。
DVWA共有十个模块,分别是:
Brute Force 暴力破解
Command Injection(命令行注入)
CSRF(跨站请求伪造)
File Inclusion(文件包含)
File Upload(文件上传)
Insecure CAPTCHA (不安全的验证码)
SQL Injection(SQL注入)
SQL Injection(Blind)(SQL盲注)
XSS(Reflected)(反射型跨站脚本)
XSS(Stored)(存储型跨站脚本)
同时每个模块的代码都有4种安全等级:Low、Medium、High、Impossible。通过从低难度到高难度的测试并参考代码变化可帮助学习者更快的理解漏洞的原理。
进入phpmyadmin管理页面: http://127.0.0.1/phpmyadmin/index.php 初始时,用户名为:admin,密码为空。登陆后先修改密码:
phpMyAdmin 的作用是利用Web页面来管理MySQL数据库服务
phpMyAdmin是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的导入及导出更为方便。其中一个更大的优势在于由于phpMyAdmin跟其他PHP程序一样在网页服务器上运行,但是您可以在任何地方使用这些程序产生的HTML页面,也就是于远程管理MySQL数据库,方便的创建、修改、删除数据库及资料表。也可借由phpMyAdmin创建常用的php语法,方便编写网页时所需要的sql语法正确性。
点击执行!
修改后服务重启。
遇到的问题:phpMyAdmin开始能打开,但是我在权限里把root的密码改了,再打开phpMyAdmin就显示:“phpMyAdmin 试图连接到 MySQL 服务器,但服务器拒绝连接。
解决方法:
在phpmyadmin的目录下改下config.inc.php里的:$ cfg[‘Servers’][ $ i][ ’ auth_type’] = ‘config’; 改为:$cfg[‘Servers’][ $ i][‘auth_type’] = ‘http’;
登陆后创建一个名为dvwa的数据库:
将DVWA-master源码拷贝至X:\wamp\www
将DVWA-master目录中,config文件夹中config.inc.php.dist重命名为: config.inc.php并打开,箭头所在处,改为刚登陆时新创建的数据路密码:
修改PHP安装目录中php.ini文件,将其中 allow_url_include 后面的Off修改为On:
进入http://127.0.0.1/DVWA-master/setup.php,点击Create/Reset Database
创建成功,自动跳转至DVWA登陆界面,默认账号为: admin,默认密码为: password:
默认账号为: admin,默认密码为: password
