web安全与防御---1.安装攻击环境DVWA

在vm虚拟机安装的win7环境下：

一、软件包准备

1.下载XMAPP（给出地址：http://www.xampps.com/）

2.下载DVWA（给出地址：http://www.dvwa.co.uk/）

二、安装环境

1、双击直接XAMPP，直接安装即可。
2、解压DVWA安装包，放置XAMPP安装目录下的htdocs目录下。

二、配置环境

1、首先修改配置文件 DVWA\config\config.inc.php文件

其中：XAMPP集成环境里面MYSQL的默认登陆密码为root/root,请根据实际情况修改。

2、用浏览器访问http://localhost/DVWA/setup.php

出现红色字体表示有两处错误：

①.找到配置文件xampp\php\php.ini，修改 allow_url_include=Off  为allow_url_include=on

②.修改配置文件config\config.inc.php
$_DVWA[ 'recaptcha_public_key' ]  = ' ';
$_DVWA[ 'recaptcha_private_key' ] = ' ';
修改为
$_DVWA[ 'recaptcha_public_key' ]  = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg';
$_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ' ;

3、点击页面的“create/resetdatabase”将DVWA的数据库建立起来。

4、跳转至登录页面：

用户名:admin

密码:password

PS： DVWA的漏洞包括了OWASP oepen web application security project的web 10大漏洞。

以下是Owasp top10 2010年发布的数据

The OWASP Top 10 Web ApplicationSecurity Risks for 2010 are:

A1: Injection  // 注入漏洞

A2: Cross-Site Scripting (XSS)  //跨站脚本

A3: Broken Authentication and Session Management  //错误的授权和会话管理

A4: Insecure Direct Object References //不正确的直接对象引用

A5: Cross-Site Request Forgery (CSRF)//伪造跨站请求

A6: Security Misconfiguration//安全性错误配置

A7: Insecure Cryptographic Storage//不安全的加密存储

A8: Failure to Restrict URL Access//未验证的重定向和传递

A9: Insufficient Transport Layer Protection//不足的传输层防护

A10: Unvalidated Redirects and Forwards//无效的重定向和转发