A. DVWAはじめに
DVWA(くそ脆弱なWebアプリケーション)は、より良い、ヘルプ、Web開発者への法的環境を提供するウェブを理解するために、安全の専門家のために彼らの専門的なスキルやツールをテストするために設計されたPHP / MySQLのWebアプリケーションで識別されたセキュリティ上の脆弱性のために使用されていますアプリケーションセキュリティプロセス。:10モジュールのDVWAの合計、すなわち、
ブルートフォース(暴力(クラック))
コマンドインジェクション(コマンドインジェクション)
CSRF(クロスサイトリクエストフォージェリ)
インクルージョンのFile(ファイルを含む)
のアップロード(ファイルのアップロード)をファイル
の安全でないCAPTCHA(危険な検証コード)
SQLインジェクション(SQLインジェクション)
SQLインジェクション(ブラインド)(SQLブラインド)
XSS(反射)(反射XSS)
XSS(記憶)(蓄積型XSS)
注DVWA 1.9符号分割、すなわち:4つのセキュリティレベルに
低、中、高、インポッシブル。
私たちは、一部のコンテンツPHPコードの監査へのコードアクセスの4つのレベルを比較することができます。
2 .DVWAを構築するには
1.ダウンロードphpStudy
http://phpstudy.php.cn/
phpStudy、良いインストールphpStudyをダウンロードし、環境を統合はApacheとMySQLの統合で
実行されているVCのランタイムの欠如表示されている場合
、32ビットVC9をします。http://www.microsoft.com/zh - CN /ダウンロード/ Details.aspx言及ID以上= 5582?
64ビットVC9ます:http:?//www.microsoft.com/zh-CN/download/details.aspx ID = 15336
あなたが実行できるかどう127.0.0.1が参照インストールした後画面が表示されますが
ダウンロードDVWA http://www.dvwa.co.uk/
ダウンロード、解凍、WWWディレクトリphpStudyの下に置きます
2.設定し、データベースのパスワードphpStudyの構成に関するすべての関連文書の最初にベストです
修正config.inc.php.distのconfing /下DVWA変更後
のconfig.inc.phpを、元DB_PASSWORDだけではなく、セットの1つを見つけます
3.変更に成功アクセス127.0.0.1/DVWA
まあそうでない場合は、その後の問題を自動的にログイン画面にジャンプします作成し
たユーザー名/パスワード:管理者/パスワード
3 .DVWA上の脆弱性のリスト
彼の名前が示すようにDVMAは、脆弱性の多くを含むアプリケーションです。ウェブ10の大きな抜け穴のOWASP oepen Webアプリケーションのセキュリティプロジェクトを含むDVWAの脆弱性。具体的には以下の脆弱性を含むDVWA:
ブルートフォースログインページにより、この脆弱性に1ブルートの脆弱性テスト位置。この脆弱性は、テストツールやブルートフォースショー危険な脆弱なパスワードに使用されています。
2.コマンド実行の脆弱性は危険にさらさシステム上でコマンドを実行します。
3.CSRFクロスサイトリクエストフォージェリの脆弱性により、攻撃者が管理者パスワードのアプリケーションを変更することができます。
SQLインジェクションの脆弱性の2種類のスパイクブラインド及びエラー・タイプを含む4.SQL注射、DVWA。
攻撃者はWebサーバに悪質なファイルをアップロードすることができます。5.危険なファイルアップロードの脆弱性
6.XSSクロスサイトスクリプティングの脆弱性により、攻撃者がWebサーバーに、独自のスクリプトを挿入することができます。リフレクティブメモリタイプとXSS XSS二つのタイプを含むDVWAシステム。
7.ファイルが実行を含む実行ファイルを含むローカルおよびリモートのファイル許可抜け穴含ま
バイパス8コード
