在vm虚拟机安装的win7环境下:
一、软件包准备
1.下载XMAPP(给出地址:http://www.xampps.com/)
2.下载DVWA(给出地址:http://www.dvwa.co.uk/)
二、安装环境
1、双击直接XAMPP,直接安装即可。
2、解压DVWA安装包,放置XAMPP安装目录下的htdocs目录下。
二、配置环境
1、首先修改配置文件 DVWA\config\config.inc.php文件
其中:XAMPP集成环境里面MYSQL的默认登陆密码为root/root,请根据实际情况修改。
2、用浏览器访问http://localhost/DVWA/setup.php
出现红色字体表示有两处错误:
①.找到配置文件xampp\php\php.ini,修改
allow_url_include=Off
为allow_url_include=on
②.修改配置文件config\config.inc.php
$_DVWA[ 'recaptcha_public_key' ] = ' ';
$_DVWA[ 'recaptcha_private_key' ] = ' ';
修改为
$_DVWA[ 'recaptcha_public_key' ] = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg';
$_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ' ;
3、点击页面的“create/resetdatabase”将DVWA的数据库建立起来。
4、跳转至登录页面:
用户名:admin
密码:password
PS:
DVWA的漏洞包括了OWASP oepen web application security project的web 10大漏洞。
以下是Owasp top10 2010年发布的数据
The OWASP Top 10 Web ApplicationSecurity Risks for 2010 are:
A1: Injection // 注入漏洞
A2: Cross-Site Scripting (XSS) //跨站脚本
A3: Broken Authentication and Session Management //错误的授权和会话管理
A4: Insecure Direct Object References //不正确的直接对象引用
A5: Cross-Site Request Forgery (CSRF)//伪造跨站请求
A6: Security Misconfiguration//安全性错误配置
A7: Insecure Cryptographic Storage//不安全的加密存储
A8: Failure to Restrict URL Access//未验证的重定向和传递
A9: Insufficient Transport Layer Protection//不足的传输层防护
A10: Unvalidated Redirects and Forwards//无效的重定向和转发