web安全实战 第一节 DVWA部署

Web安全实战

本地部署dvwa,模拟真实环境

渗透神器打造

——打造属于自己的渗透神器

选择Firefox因为Firefox是开源浏览器,拥有数量比较多的插件,可以很方便的把浏览器打造成我们想要的样子。

主要安装一下几个插件:

Firebug(火狐已经集成,非常强大的调试工具,我们主要用到的是HTML元素查看功能和网络数据监控功能)

Hackbar(一款优良的渗透插件,主要用于SQL注入,XSS等漏洞的手工测试,我们主要用到它的分割URL参数和编码的功能)

Tamper data(一款抓HTTP/HTTPS数据包的插件,具备劫包、探包、改包、发包的功能,我们可以插入自己的攻击代码,方便对web站点的测试)

Proxy switch(一款代理插件,可以将浏览器访问的所有数据包发送到指定的端口,当然这需要浏览器之外的插件,在对应的端口上对数据包进行处理,这种软件是比tamper data更高级的应用)

 

经过上面的操作我就有了一款渗透测试的神器,那么我还需要搭建测试需要的web环境,因为我们将要部署的dvwa环境是用php写的,所以我们搭建php环境。

Php环境搭建

数据交互过程:

浏览器找到页面→hello.php→处理php(→与数据库进行交互)→返回HTML→返回浏览器

 

以上红色部分属于服务器部分:浏览器部分已经配置好了,那么就来配置服务器部分吧!

配置服务器需要:

Apache服务器

Php解析程序

MySQL数据库

在这里我们用到了phpstudy这个软件,这个软件是学习神器,它自带了:

Apache服务器

Php解析程序

MySQL数据库

Phpmyadmin管理工具

 

Phpstudy官网:http://www..phpstudy.net

安装好后使用我们配置好的浏览器来访问本地ip地址(本地ip不知道可以运行→cmd→ipconfig查看)

需要留意的是探针页面的绝对路径(这个就是网站根目录)

Dvwa代码安装

Dvwa是一套用php语言编写的web渗透测试环境,包含了许多流行的安全漏洞程序,后面学习的漏洞按照顺序依次包括:

暴力破解、命令注入、跨站请求伪造CSRF、文件包含漏洞、文件上传漏洞、SQL注入、跨站脚本攻击XSS

 

Dvwa安装:

官网下载地址:www.dvwa.co.uk

进入后选择右上角GitHub,会跳转到GitHub。

下拉在download下载最新版就好。

下载完成后解压到上面说的网站根目录下(放在phpstudy的www文件夹下)

解压后进入config目录:config/config.inc.php(主要是用来配置数据库的)

用记事本打开,修改数据库密码为root,保存退出即可。

浏览器登录dvwa页面:本机ip/绝对路径/dvwa文件名

 

小结:

打造Firefox渗透测试神器

Firebug

Hackbar

Tamper data

Proxy switch

部署web服务器环境

PHPstudy

部署web渗透测试环境

Dvwa

 

野兔

2019.3.2

转载于:https://my.oschina.net/hare1925/blog/3017140

你可能感兴趣的:(web安全实战 第一节 DVWA部署)