Dvwa的安裝，小網(wǎng)站的漏洞資源庫，這里先做Dvwa的安裝，接下來會(huì)有Dvwa的漏洞查詢方式說明。

DVWA(dema vulnerable web application)是一個(gè)基于PHP/MYSQL環(huán)境寫的一個(gè)web應(yīng)用。他的主要目的是幫助安全專業(yè)員去測試他們的技術(shù)和工具在合法的環(huán)境里面也幫助開發(fā)人員更好的理解如何加固他們開發(fā)的web系統(tǒng)同時(shí)幫助老師或者學(xué)生去教或者學(xué)習(xí)web應(yīng)用安全在教學(xué)環(huán)境里面。如果你想學(xué)習(xí)web滲透測試測試遇見DVWA是你的幸運(yùn)

1.安裝環(huán)境

1、去百度下載xampp安裝即可，Windows和Mac都可有。

2、到http://www.dvwa.co.uk下載dvwa的的zip壓縮包。

一、安裝 xampp，都選默認(rèn)，然后下一步，知道安裝完成，直接運(yùn)行

二、配置dvwa

001、啟動(dòng)xampp，打開xampp的文件路徑

002、將dvwa.zip文件解壓并將文件名修改為dvwa,將文件拷貝到XAMPP安裝目錄下的\xampp\htdocs目錄下

003、通過xampp的控制臺(tái)啟動(dòng)XAMPP的apache和mysql服務(wù)

004、測試安裝，

通過瀏覽器輸入：http://127.0.0.1進(jìn)行訪問，如圖顯示，則成功

005、配置數(shù)據(jù)庫

在該頁面點(diǎn)擊這里進(jìn)入數(shù)據(jù)庫

006、進(jìn)入數(shù)據(jù)庫，顯示如圖，然后點(diǎn)擊用戶賬戶創(chuàng)建新用戶：

007、配置用戶信息并點(diǎn)擊右下的執(zhí)行

創(chuàng)建成功，如圖顯示

008、配置DVWA，修改配置文件

到剛才配置的文件下找到此文件，并修改，修改后將文件重命名為：config.inc.php

可用vim進(jìn)行打開文件并修改，改完以后記得重命名

vim /Applications/XAMPP/xamppfiles/htdocs/dvwa/config/config.inc.php.dist

按如下格式修改 localhost和127.0.0.1一樣

按此格式修改文件

009、初次使用，初始化數(shù)據(jù)庫

打開瀏覽器訪問http://127.0.0.1/dvwa/

點(diǎn)擊按鈕初始化數(shù)據(jù)庫，如圖顯示即為成功

OK之后再次訪問此地址，進(jìn)入登錄界面

默認(rèn)的登陸賬號(hào)信息為

Username: admin

Passwod:password

010、如圖顯示即為配置成功，接下來就是十大漏洞測試

三、 DVWA上的漏洞列表

DVMA正如他的名字一樣是一個(gè)包含了很多漏洞的應(yīng)用系統(tǒng)。DVWA的漏洞包括了OWASP oepen web application security project的web 10大漏洞。這里提一下Owasp top10 2010年發(fā)布的數(shù)據(jù)

The OWASP Top 10 Web ApplicationSecurity Risks for 2010 are:

A1: Injection // 注入漏洞

A2: Cross-Site Scripting (XSS) //跨站腳本

A3: Broken Authentication and Session Management //錯(cuò)誤的授權(quán)和會(huì)話管理

A4: Insecure Direct Object References //不正確的直接對象引用

A5: Cross-Site Request Forgery (CSRF)//偽造跨站請求

A6: Security Misconfiguration//安全性錯(cuò)誤配置

A7: Insecure Cryptographic Storage//不安全的加密存儲(chǔ)

A8: Failure to Restrict URL Access//未驗(yàn)證的重定向和傳遞

A9: Insufficient Transport Layer Protection//不足的傳輸層防護(hù)

A10: Unvalidated Redirects and Forwards//無效的重定向和轉(zhuǎn)發(fā)

接下來會(huì)一一進(jìn)行測試并附詳細(xì)步驟