动态安全漏洞评估(DWA )是一个用于安全漏洞鉴定的PHP/MySQL web APP包,为安全专家测试自己的专业知识和工具提供了合法的环境,web开发人员可以使用它来测试web
总共10个模块:
暴力(破解)、命令行注入、伪造跨网站请求、包含文件、上传文件、不安全验证码、SQL注入、SQL盲注、弱会话ID、XSS漏洞(DOM型跨网站、反射型)
环境搭建
因为在本地构建了真实的web漏洞网站,所以我在Windows系统上操作了!
一、下载DVWA
下载地址: http://www.dvwa.co.uk/
二.安装DVWA
安装之前,需要准备工作。 首先进行PHP Mysql的环境构筑。
1.下载、安装、启动phpstudy,https://www.xp.cn/
(phpStudy是PHP调试环境的程序集成软件包。 正好可以使用“PHP Mysql Apache”。 )
2、将下载的DVWA解压到phpstudy网站根目录下。
例如,我解压缩后的路径是“d :phpstudywwwdvwa-master ”。
3、将 config.inc.php.dist 复制一份或重命令为 config.inc.php;
例如,我的配置文件路径为" d :phpstudywwwdvwa-masterconfig "。
4、修改 config.inc.php 里代码如下:
$_DVWA[ 'db_server' ]='127.0.0.1 '; #数据库地址$_DVWA[ 'db_database' ]='dvwa '; #数据库名称$_DVWA[ 'db_user' ]='root '; #数据库用户名$_DVWA[ 'db_password' ]='root '; #数据库密码phpstudy的缺省mysql数据库地址为127.0.0.1或localhost,因此用户名和密码为“root”。 主要重要的是修改‘db _ password’为root,修改后当然需要保存文件。
三、DVWA 使用
实际使用没什么好说的,非常简单,只有以下几个步骤。
1、设置或重置数据库
浏览器只需直接打开“http://127.0.0.1/DVWA-master/setup.php”! 如果有“红色标志”的提示,可能需要打开几个模块或进行一些设置。 否则,有些东西是不能实验的。 例如,文件包含、文件上传漏洞等。
向下拉动,单击Setup/Reset DB,然后单击Create/Reset Database。 显示创建成功的提示。
dvwa recaptcha key :缺少解决方案
编辑名为dvwa/config/config.inc.php的配置文件
$ _ dvwa [ ' recaptcha _ public _ key ' ]=' '; $ _ dvwa [ ' recaptcha _ private _ key ' ]="; key可以自己生成。 地址是
33559 www.Google.com/recaptcha/admin/create下面这个是我自己生成的,请随意使用
Site key:
6 ldjjluaaah1q6ctpzrq 2a h8 vpyzhnffd0mbb
Secret key:
6 ldjluaaam2a3 hrgzlczqdyp 4g 05 eqds-w4k
填写key就可以了
$ _ dvwa [ ' recaptcha _ public _ key ' ]='6ldjluaaah1q6ctpzrq 2a h8 vpyzhnffd0mbb '; $ _ dvwa [ ' recaptcha _ private _ key ' ]='6ldjluaaaam2a3 hrgzlczqdyp 4g 05 eqds-w4k '; 单击Setup/Reset DB,然后再次单击create/reset数据库。 创建数据库后,将显示创建成功的提示。
2、登陆
浏览器打开“http://127.0.0.1/DVWA-master/login.php”并登录。 默认用户名: admin,默认密码: password;
3、设置程序安全级别
浏览器打开“http://127.0.0.1/DVWA-master/security.php”进行设置。 分别有“低、中、高、不可能”。 程序的安全级别越低,越容易被攻破,没有采取任何安全措施。 主要是为了自我挑战不同等级的程序防护水平!
请关注公众号,方便学习交流