DVWA安全測(cè)試程序(漏洞測(cè)試環(huán)境搭建)下載、安裝、使用詳細(xì)教程

DVWA (Dam Vulnerable Web Application)是用PHP+Mysql編寫(xiě)的一套用于常規(guī)WEB漏洞教學(xué)和檢測(cè)的WEB脆弱性測(cè)試程序。包含了SQL注入、XSS、盲注等常見(jiàn)的一些安全漏洞。

DVWA是一個(gè)很容易受到攻擊的PHP+MySQL的Web應(yīng)用程序。其主要目標(biāo)是幫助安全專業(yè)人員在法律環(huán)境中測(cè)試他們的技能和工具，幫助Web開(kāi)發(fā)人員更好地了解保護(hù)Web應(yīng)用程序的過(guò)程，并幫助學(xué)生和教師了解受控類中的Web應(yīng)用程序安全性房間測(cè)試環(huán)境。

由于是本地搭建真實(shí)web漏洞網(wǎng)站，我就以Windows系統(tǒng)來(lái)操作了!

一、DVWA下載(本站提供下載)

二、DVWA安裝

在安裝前，需要做一個(gè)準(zhǔn)備工作，我們先去做一個(gè)PHP+Mysql的環(huán)境搭建。

1、下載、安裝、啟動(dòng)PhpStudy。

phpStudy是一個(gè)PHP調(diào)試環(huán)境的程序集成包。恰好我們可以用到"PHP+Mysql+Apache"。

2、將下載的DVWA解壓到phpstudy網(wǎng)站根目錄下。

例如：我這解壓后的路徑是“F:\phpStudy\WWW\DVWA\”。

3、將config.inc.php.dist復(fù)制一份或重命令為config.inc.php;

例如：我的配置文件路徑是“F:\phpStudy\WWW\DVWA\config”。

4、修改 config.inc.php 里代碼如下：

$_DVWA[ 'db_server' ] = '127.0.0.1'; #數(shù)據(jù)庫(kù)地址

$_DVWA[ 'db_database' ] = 'dvwa'; #數(shù)據(jù)庫(kù)名稱

$_DVWA[ 'db_user' ] = 'root'; #數(shù)據(jù)庫(kù)用戶名

$_DVWA[ 'db_password' ] = 'root'; #數(shù)據(jù)庫(kù)密碼

因?yàn)閜hpstudy默認(rèn)的mysql數(shù)據(jù)庫(kù)地址是“127.0.0.1 或 localhost"，用戶名和密碼都是"root"。主要是修改’db_password‘為root，這里很重要，修改后自然是需要保存文件的，這個(gè)不用說(shuō)相信大家也能知道。

三、DVWA使用

使用其實(shí)也沒(méi)什么可多說(shuō)的，也非常的簡(jiǎn)單，只有以下幾個(gè)步驟：

1、設(shè)置或重置數(shù)據(jù)庫(kù)

瀏覽器只需要直接打開(kāi)“http://127.0.0.1/dvwa/setup.php”即可!如果有”標(biāo)紅“提示，可能你要打開(kāi)一些模塊或做一些設(shè)置，否則有些是不能實(shí)驗(yàn)的，例如：文件包含、文件上傳漏洞。

2、登陸

瀏覽器打開(kāi)”http://127.0.0.1/dvwa/login.php“登陸。默認(rèn)用戶名：admin，默認(rèn)密碼：password;

3、設(shè)置程序安全級(jí)別

瀏覽器打開(kāi)”http://127.0.0.1/dvwa/security.php“來(lái)做設(shè)置，分別有”低、中、高、不可能“，程序安全級(jí)別越低，說(shuō)明越容易被攻破，沒(méi)有做任何的安全防護(hù)。主要是用來(lái)自我挑戰(zhàn)不同等級(jí)的程序防護(hù)級(jí)別的!

總結(jié)：上圖是我本地瀏覽器打開(kāi)的效果圖，可以清楚的看到DVWA包含了以下具體的漏洞：暴力破解、命令注入、CSRF、文件包含、上傳文件、驗(yàn)證碼、SQL普通注入、SQL盲注、弱session、XSS、安全策略(CSP)繞過(guò)、JavaScript攻擊。