web安全——01 DVWA的搭建

在学习web安全时，刚开始的各种SQL注入，XSS攻击等听得云里雾里的，完全达不到效果，因为光听不练假把式，不如自己上手来试试。所以接下来就进行DVWA的搭建。

DVWA的搭建

DWVA简介

DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用，旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好的理解web应用安全防范的过程。

DVWA共有十个模块，分别是Brute Force(暴力(破解))、Command Injection(命令行注入)、CSRF(跨站请求伪造)、File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA (不安全的验证码)、SQL Injection(SQL注入)、SQL Injection(Blind)(SQL盲注)、XSS(Reflected)(反射型跨站脚本)、XSS(Stored)(存储型跨站脚本)。

 

所以DWVA就充当了各种攻击的靶站。

搭建

下载phpstudy：http://down.php.cn/PhpStudy20180211.zip

phpStudy是集成了Apache和MySql的集成环境。

下载DVWA：https://codeload.github.com/ethicalhack3r/DVWA/zip/v1.9

点击安装phpstudy

选择默认路径：

安装后的phpstudy界面。如果初次进入界面出现缺少VC运行库的弹窗时，点击确认，系统将自动进入下载网站，选择缺少的VC运行库进行下载安装。

接下来将下载好的DVWA压缩包解压到C:\phpStudy\PHPTutorial\WWW目录下并改名为DVWA

更改phpstudy数据库的密码

进入DVWA文件夹下的config目录C:\phpStudy\PHPTutorial\WWW\DVWA\config

用记事本或者notepad打开config.inc.php文件，将下图的密码从p@ssw0rd改为root。这样更容易记住。保存退出。

phpstudy启动

打开浏览器进入127.0.0.1/dvwa

点击创建/重置数据库的按钮，然后进入dwva登陆界面

账号admin 密码password进入主界面。

其中里面就显示了10个模块，以后就需要在这里练习了。