1. DVWA
(1)DVWA简介
DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
(2)DVWA的10个模块
DVWA共有10个模块,分别如下:
- Brute Force(暴力破解)
- Command Injection(命令行注入)
- CSRF(跨站请求伪造)
- File Inclusion(文件包含)
- File Upload(文件上传)
- Insecure CAPTCHA (不安全的验证码)
- SQL Injection(SQL注入)
- SQL Injection(Blind)(SQL盲注)
- XSS(Reflected)(反射型跨站脚本)
- XSS(Stored)(存储型跨站脚本)
(3)DVWA的安全级别
一般情况下,DVWA一共有四种安全级别,分别为:
Low、Medium、High、Impossible
2. DVWA的搭建
(1)下载并安装phpstudy
phpStudy是集成了Apache和MySql的集成环境;安装好之后如下图所示:
(2)安装好之后查看服务是否正常;
(3)把下载好的DWVA放在phpstudy的安装目录下,C:\phpStudy\WWW中;
(4)配置DVWA链接数据库配置文件
打开config文件夹下的config.inc.php,将db_password 修改成 root ,因为刚安装好的集成环境默认的MYSQL 链接用户名和密码为 root root;
(5)Setup DVWA;
(6)Create Database;
(7)登录DVWA,账号为admin,密码为password;
后面内容会依次介绍DVWA中的各个模块;