DVWA(Damn Vulnerable Web Application)是一個用來進行弱點安全測試的網站系統,旨在為安全專業人員測試自己的專業技能和工具提供合法的環境,幫助web開發者更好的理解web應用安全防範的過程。
此為官方DVWA載點: https://dvwa.co.uk/
使用工具:
1. 虛擬機: Virtualbox (Windows 64bit版本)
官方網站: https://www.virtualbox.org/
2. XAMPP (Windows 64bit 版本): XAMPP是一個把Apache網頁伺服器與PHP、Perl及MariaDB集合在一起的安裝包,允許使用者可以在自己的電腦上輕易的建立網頁伺服器,所以安裝完後,會有Apache、PHP、MariaDB,很像是一個整合包
官方網站: https://www.apachefriends.org/zh_tw/index.html
以下以Windows10為測試主機,並將之安裝在虛擬機上,安裝完Windows10後我們先設定Virtualbox的連接埠設定,讓電腦可以透過瀏覽器連接這個虛擬主機,相關設定請參考下面圖片
IP 位址可以從以下方式查詢
1. 虛擬機(Virtualbox)分配給虛擬主機的位址: 192.168.56.1
2. 虛擬主機內部IP 位址: 10.0.2.15
以上是利用連接埠來連通虛擬機網路
安裝完 XAMPP 後執行 Apache 和 MySQL
利用瀏覽器連線到192.168.56.1 ,確定Apache Server 設定正確
接著再來安裝DVWA,將DVWA下載下來的壓縮檔解壓縮至 C:\xampp\htdocs\dvwa 目錄底下
到目錄 C:\xampp\htdocs\dvwa\config 底下將 config.inc.php.dist 檔案複製並更名為 config.inc.php ,讓DVWA可以吃到相關的設定檔
修改config.inc.php 裡面內容,主要是將$_DVWA[ 'db_password' ] = ‘p@ssw0rd’; 裡面的密碼清空
修改目錄 C:\xampp\php\php.ini(設定檔),確定以下設定是否正確
allow_url_fopen=On
allow_url_include=On
以瀏覽器登入 192.168.56.1/DVWA/setup.php,其中
PHP module gd 、reCAPTCHA key 的錯誤可忽略
點擊 create / Reset Database 按鈕,建立DVWA 資料庫
若出現以下錯誤訊息,則利用手動建立Database
登入到 MySQL的console,直接手動建立database和dvwa帳號
首先進入到shell
接著我們在shell裡面依序下指令
1. mysql -u root -p (系統提示輸入password時,因為預設密碼為空,所以直接按下Enter鍵)
2. create user ‘dvwa’@’localhost’ identified by ‘’;
3. select user, host, password from mysql.user; (檢查有無新增成功)
4. grant all privileges on *.* to ‘dvwa’@’localhost’ ; (賦予dvwa帳號權限)
5. flush privileges; (設定生效)
回到瀏覽器 192.168.56.1/DVWA/setup.php,點擊 create / Reset Database 按鈕,建立DVWA 資料庫
進到瀏覽器 http://192.168.56.1/DVWA/login.php 進行登入
預設帳號: admin
預設密碼: password
登入成功後會發現側邊攔多了很多功能