web安全实战 第一节 DVWA部署

Web安全实战

本地部署dvwa，模拟真实环境

渗透神器打造

——打造属于自己的渗透神器

选择Firefox：因为Firefox是开源浏览器，拥有数量比较多的插件，可以很方便的把浏览器打造成我们想要的样子。

主要安装一下几个插件：

Firebug（火狐已经集成，非常强大的调试工具，我们主要用到的是HTML元素查看功能和网络数据监控功能）

Hackbar（一款优良的渗透插件，主要用于SQL注入，XSS等漏洞的手工测试，我们主要用到它的分割URL参数和编码的功能）

Tamper data（一款抓HTTP/HTTPS数据包的插件，具备劫包、探包、改包、发包的功能，我们可以插入自己的攻击代码，方便对web站点的测试）

Proxy switch（一款代理插件，可以将浏览器访问的所有数据包发送到指定的端口，当然这需要浏览器之外的插件，在对应的端口上对数据包进行处理，这种软件是比tamper data更高级的应用）

 

经过上面的操作我就有了一款渗透测试的神器，那么我还需要搭建测试需要的web环境，因为我们将要部署的dvwa环境是用php写的，所以我们搭建php环境。

Php环境搭建

数据交互过程：

浏览器→找到页面→hello.php→处理php（→与数据库进行交互）→返回HTML→返回浏览器

 

以上红色部分属于服务器部分：浏览器部分已经配置好了，那么就来配置服务器部分吧！

配置服务器需要：

Apache服务器

Php解析程序

MySQL数据库

在这里我们用到了phpstudy这个软件，这个软件是学习神器，它自带了：

Apache服务器

Php解析程序

MySQL数据库

Phpmyadmin管理工具

 

Phpstudy官网：http://www..phpstudy.net

安装好后使用我们配置好的浏览器来访问本地ip地址（本地ip不知道可以运行→cmd→ipconfig查看）

需要留意的是探针页面的绝对路径（这个就是网站根目录）

Dvwa代码安装

Dvwa是一套用php语言编写的web渗透测试环境，包含了许多流行的安全漏洞程序，后面学习的漏洞按照顺序依次包括：

暴力破解、命令注入、跨站请求伪造CSRF、文件包含漏洞、文件上传漏洞、SQL注入、跨站脚本攻击XSS

 

Dvwa安装：

官网下载地址：www.dvwa.co.uk

进入后选择右上角GitHub，会跳转到GitHub。

下拉在download下载最新版就好。

下载完成后解压到上面说的网站根目录下（放在phpstudy的www文件夹下）

解压后进入config目录：config/config.inc.php（主要是用来配置数据库的）

用记事本打开，修改数据库密码为root，保存退出即可。

浏览器登录dvwa页面：本机ip/绝对路径/dvwa文件名

 

小结：

打造Firefox渗透测试神器

Firebug

Hackbar

Tamper data

Proxy switch

部署web服务器环境

PHPstudy

部署web渗透测试环境

Dvwa

 

野兔

2019.3.2

转载于:https://my.oschina.net/hare1925/blog/3017140