THỰC HÀNH DVWA LÀ GÌ, DAMN VULNERABLE WEB APPLICATION TÌM HIỂU VỀ DVWA VÀ MOD SECURITY

Giới thiệu DVWA:

Damn Vulnerable web Application (DVWA) là 1 trong những ứng dụng mã mối cung cấp PHP/MySQL tập đúng theo sẵn những lỗi lô ghích về bảo mật ứng dụng web vào mã mối cung cấp PHP. Lỗi logic khi lập trình rất có thể áp dụng đối với các loại ngôn từ lập trình nhằm mục tiêu giảm thiểu kỹ năng tạo ra lổ hổng bảo mật từ tứ duy lập trình chưa cẩn thận.

Bạn đang xem: Thực hành dvwa là gì, damn vulnerable web application tìm hiểu về dvwa và mod security

Bạn đang xem: Dvwa là gì

*

DVWA
Mục tiêu chủ yếu của DVWA đó là tạo thành một môi trường thực hành pentest hợp pháp. Giúp cho những nhà cải tiến và phát triển ứng dụng web phát âm hơn về hoạt động lập trình an toàn và bảo mật hơn. Hình như DVWA cũng cung ứng cho những pentester cách thức học và thực hành tấn công khai thác lỗi bảo mật ứng dụng web ở tại mức cơ bạn dạng và nâng cao.Dự án DVWA đã được khai sinh từ tháng 12/2008 và cách tân và phát triển rất cấp tốc chóng cũng như sớm nổi tiếng.

Cảnh báo sử dụng:

DVWA có đựng nhiều lỗ hổng bảo mật ở nhiều hạng mục vì vậy tránh việc sử dụng public như upload lên khối hệ thống nhà hỗ trợ hosting tuyệt web server điều khiển xe trên Internet. Vày sẽ dẫn đến nguy hại bị kẻ xấu khai quật trực tiếp khối hệ thống VPS/Hosting qua các lổ hổng thực hành thực tế này. Bởi vì thế bạn chỉ nên cài đặt ở môi trường xung quanh nội bộ như máy chủ ảo (VPS) hay Web server local (Localhost).

Xem thêm: Nhập Sỉ Đồ Chơi Tình Dục Giá Sỉ Cho Nam Nữ Les Gay Giá Rẻ Tphcm Hà Nội

Môi trường download đặt:

DVWA là vận dụng mã nguồn PHP và Cơ Sở tài liệu là MySQL, nên chúng ta cũng có thể cài đặt dịch vụ thương mại XAMPP trên cả Linux hoặc Windows nhằm tạo môi trường xung quanh thực hành cấp tốc chóng. Hoặc chúng ta cũng có thể cài đặt hệ thống web server LAMP/LEMP bên trên CentOS/Ubuntu để thực hành.Các lổ hổng vào DVWA:Khi bạn thực hành với DVWA, các bạn sẽ có hầu hết nhóm lổ hổng bảo mật thông tin như sau:
Brute ForceCommand ExecutionCross Site Request Forgery (CSRF)File InclusionSQL InjectionInsecure tệp tin UploadCross Site Scripting (XSS)Easter eggsCác nút độ bảo mật thông tin trong DVWA:DVWA cung cấp 3 mức độ bảo mật khớp ứng 3 level để bạn thực hành thực tế từ dễ cho tới khó gồm :High - nấc cao nhất: cấp độ này gần như là là level dùng làm so sánh mã nguồn tất cả lổ hổng ở mức low cùng medium cùng với mã nguồn đang được buổi tối ưu ngơi nghỉ mức an toàn bảo mật.Medium - nấc trung bình: mức độ này cung cấp nội dung xúc tích code sẽ fix lổ hổng cơ phiên bản ở khuôn khổ mức low.Low - cường độ thấp nhất: với mức độ low thì mã nguồn PHP gân như phơi bày tài năng khai thác lổ hổng qua bốn duy lập trình không bao quát vụ việc bảo mật.Đối với từng trang thực hành bảo mật thông tin sẽ luôn luôn có nút view source. Nút này được sử dụng để xem nội dung source code của những mức bảo mật ứng mổi hạng mục, để từ đó bạn có thể so sánh, reviews lý do nguyên nhân mã mối cung cấp này lại trình diện ra lổ hổng bảo mật như vậy.

Hướng dẫn setup DVWA:

Như đã nhắc tới ở bên trên bạn đề xuất một máy chủ rất có thể chạy được PHP cùng MySQL để bắt đầu.Tải về mã nguồn DVWA:Bạn hoàn toàn có thể tải trực tiếp tại đây, hoặc sử dụng git:>$ git clonehttps://github.com/ethicalhack3r/DVWA.git>Sau kia chép toàn bộ nội dung vào thư mục website trên thứ bạn.Tạo một cơ sở tài liệu trống:Để chế tác một cơ sở dữ liệu mới chúng ta có thể dùng phpMyAdmin hoặc câu lệnh SQL:>sql> CREATE DATABASE dvwadata;>>sql> GRANT ALL PRIVILEGES ON dvwadata.* khổng lồ "dvwauser""localhost" IDENTIFIED BY "dvwapass";>Giải thích: (Bạn gồm thể thay đổi câu lệnh tuỳ ý)dvwadata là tên gọi database.dvwauser là tên thông tin tài khoản mysql.localhost là địa chỉ cửa hàng máy công ty mysql.dvwapass là password của tài khoản ở trên.Cấu hình kết nối cơ sở dữ liệu:Ví dụ folder website là >/var/www/html/>vậy bạn hãy mở tệp tin >/var/www/html/config/config.inc.php.dist> lên, hãy tìm và sửa đổi đoạn sau:>$_DVWA = "localhost";$_DVWA = "dvwadata";$_DVWA = "dvwauser";$_DVWA = "dvwapass";>Sau đó đổi tên từ >config.inc.php.dist> thành >config.inc.php> nhé ;)Cấu hình PHP.ini:Bạn hãy thêm mọi dòng này vào thời gian cuối file php.ini ngơi nghỉ thư mục >/var/www/html/> và thư mục cấu hình PHP nhé:>allow_url_include = onallow_url_fopen = onsafe_mode = offmagic_quotes_gpc = offdisplay_errors = off>Các cấu hình khác:Ngoài ra thì trong file >config.inc.php> ta còn tồn tại một số cấu hình khác như:Thay thay đổi từ MySQL sang PostgreSQL, chúng ta chỉ cần biến đổi dấu >#> sinh hoạt hai loại này:># Database management system lớn use$DBMS = "MySQL";#$DBMS = "PGSQL"; // Currently disabled>Thay đổi port cho khi thực hiện PostgreSQL:># Only used with PostgreSQL/PGSQL database selection.$_DVWA = "5432";>Sử dụng ReCAPTCHA vào hệ thống, bạn cần vào trang tạo ra khoá ReCAPTCHA để mang 2 khoá public cùng private rồi điền vào đây:># ReCAPTCHA settings# Used for the "Insecure CAPTCHA" module# You"ll need to lớn generate your own keys at: https://www.google.com/recaptcha/admin/create$_DVWA = "";$_DVWA = "";>Tiến hành cài đặt đặt:Bạn hãy truy vấn vào website của khách hàng với băng thông >setup.php>. Ví dụ:>http://example.com/setup.php>Ấn vào nút Create/Reset Database
. Để tiến hành nạp data tự động.

*

*

*