学会自己搭建安全测试环境
虽然我知道市场上有许多关于搭建安全测试环境的文档,但是这块我还是会自己坚持写,是因为其他博客也不定都是正确的,有些细小问题,可能就会导致失败,所以我自己实践一次,将实践过程中的流程,记录下来,方便我以后阅读
提醒你,这些应用充满了各种漏洞,不要在本机上直接安装,否则你的电脑被黑
一:下载
1.我们需要搭建PHP/MYSQL的环境,用 xampp 这个工具就可以。去官网 xampp 上下载,这里分享一个官网网址:https://www.apachefriends.org/zh_cn/download.html
https://sourceforge.net/projects/xampp/ 有两个网址,随便一个都可以 ,简单如图:
xampp下载成功后,就是安装:提供一个安装网址教程: https://jingyan.baidu.com/article/27fa7326abf2cd46f8271f35.html
当然在安装的过程,可能会有一些多多少少的问题,
2. 下载DVWA 下载成功后,解压DVWA,改名为小写dvwa并放在:“[xampp 安装目录 ]\ htdocs \”目录下
3. 修改“[xampp目录]\htdocs\dvwa\config\config.inc.php”里面连接MySQL数据库的密码、端口
(xampp默认MySQL用户名密码是root/root,默认端口是3306) 当然,要是你在xampp 修改过密码,那么这块密码就是你修改的密码,总之 保证xampp 与 dvwa保持一致
二:使用
一“ ”启动xampp的Apache和MySQL服务
二:获取虚拟机IP,并通过“http://[虚拟机IP]:80/dvwa”进入dvwa的安装界面
三:点击【Create / Reset Database】创建dvwa数据库。创建成功后会自动跳转到登录页面。
7.默认登录账号密码见上图,是【admin/password】登录。
8.登录后可见到界面如下图所示,左侧列表列出了dvwa所支持的漏洞种类,共10种,【DVWA Security】中可以设置dvwa的漏洞级别,有【Low、Medium、High、Impossible】四个级别。
到这里dvwa就已经装好了,你可以用它来练习了。反正当时我是没有配置成功
漏洞类型
DVWA一共支持10种漏洞类型,包括:
Brute Force(暴力破解)
Command Injection(命令行注入)
CSRF(跨站请求伪造)
File Inclusion(文件包含)
File Upload(文件上传)
Insecure CAPTCHA(不安全的验证码)
SQL Injection(SQL注入)
SQL Injection(Blind)(SQL盲注)
XSS(Reflected)(反射型跨站脚本)
XSS(Stored)(存储型跨站脚本)
漏洞级别
DVWA可以设置漏洞的级别,一共有四种:
Low (这个级别的漏洞没有做任何安全方面的措施)
Medium (这个级别做了一点简单的安全防护,但是不够严格)
High (这个级别比Medium要高,做了不错的安全防护,但也还是有漏洞可钻)
Impossible (这个级别的安全措施就严格多了,基本上你是会被堵死了,这个级别一般可以给开发人员用来对比自己的代码来学习,看看人是怎么防护这种漏洞的)
