Damn sebezhető webalkalmazás (dvwa) - Instruments kali linux
Leírás Damn sérülékeny Web Application (DVWA)
Damn sérülékeny Web Application (DVWA) - van PHP / MySQL web alkalmazás, rohadt sérülékeny. Fő célja -, hogy segítsen a biztonsági szakemberek, hogy teszteljék tudásukat és eszközök a jogszabályi környezet segít a webfejlesztők, hogy jobban megértsék a folyamat webes alkalmazások biztonsága, és segít a diákok és a tanárok a tanulmány a webes alkalmazások biztonsága az ellenőrzési környezet a közönség.
A cél DVWA gyakorolni néhány leggyakoribb webes sérülékenységek különböző szintű komplexitás, az egyszerű egyenes felületen. Kérjük, vegye figyelembe, hogy vannak mind dokumentálva és dokumentált biztonsági réseket ezt a szoftvert. Ez szándékos. Ha felkérik, hogy megpróbálja megtalálni annyi réseket, mint te.
Damn sérülékeny Web Application rohadt sérülékeny! Ne töltse be a nyilvánosság html mappát a tárhely szolgáltató, vagy bármely szerver, amely az internet-hozzáférést, mivel veszélybe kerül. Ajánlatos, hogy egy virtuális gép (mint például a VirtualBox vagy VMware), amelyek be vannak helyezve a hálózati NAT mód. Belül a vendég gép lehet letölteni és telepíteni a web szerver és adatbázis.
Néhány webes alkalmazás sebezhető, amely DVWA;
- Brute-force. Brute-force HTTP űrlap alapú bejelentkezési oldal; A teszteléshez használt eszközök a támadás egy jelszót brute force és megmutatja a bizonytalanság a gyenge jelszavak.
- Kivitelezés (végrehajtás) parancsot. Futó parancsokat az operációs rendszer szintjén.
- Cross-site request hamisítás (CSRF): Lehetővé teszi a „támadás” a rendszergazda jelszó megváltoztatásához alkalmazásokat.
- Végrehajtás (tartalmazza veszélyeztetettség) fájlokat. Ez lehetővé teszi, hogy „támadás” kapcsolódni a távoli / helyi fájlokat a webes alkalmazás.
- SQL injection: Lehetővé teszi a „támadó”, hogy végre az SQL utasítás a beviteli mezőbe a HTTP, DVWA tartalmazza a vakok és tévedésen alapul SQL végrehajtás.
- Bizonytalan feltöltési fájlokat. Ez lehetővé teszi, hogy „támadó” feltölteni rosszindulatú fájlokat egy webszerverre.
- Site scripting (XSS). „Attack” is adja script egy webes alkalmazás / adatbázis. DVWA tartalmazza a visszavert és a tárolt XSS.
- Húsvéti tojás: a nyilvánosságra hozatal a teljes elérési utakat, hitelesítés bypass, és mások.
Segíts Damn sérülékeny Web Application (DVWA)
DVWA három biztonsági szintet, hogy változtatni a biztonsági szintet az egyes webes alkalmazás DVWA.
Lehetetlen - Ez a szint biztonságosnak kell lenniük ellen réseket. Arra használják, hogy összehasonlítsuk a forráskód a kiszolgáltatott egy biztos forrás. Mielőtt DVWA v1.9 ezen a szinten volt az úgynevezett „magas”.
Nagy - Ez a terjeszkedés közepesen nehéz, keverékével bonyolultabb vagy alternatív rossz gyakorlat, hogy megpróbálja megvédeni a kódot. A biztonsági rés nem teszi lehetővé egy ilyen művelet helyet más szinteken.
Közepes - Ez a biztonsági szint elsődleges célja, hogy a felhasználó egy példát rossz biztonsági gyakorlatot, ahol a fejlesztők megpróbálták, hogy a biztonsági alkalmazás, de nem sikerült. Egyben kihívás a felhasználók számára, hogy azok javították a működési technikák.
Alacsony - Ez szintű biztonsági teljesen kiszolgáltatott, és teljesen nem védett. Ennek célja, hogy példát legjobb között a kiszolgáltatott webes alkalmazás, egy példa a rossz programozási gyakorlat és alapul szolgál a tanulás alapvető technikákat a kizsákmányolás.
Szintén DVWA akkor engedélyezze vagy tiltsa le a PHP-IDS.
PHP-IDS - PHP egy népszerű behatolás érzékelő rendszer (IDS), amely szintén ismert webes alkalmazás tűzfalak (Web Application Firewall (WAF)). PHP-IDS működik szűréssel a fekete listát a potenciálisan veszélyeztetett bármely felhasználó kódját bemenet. PHP-IDS DVWA kiszolgálni az élő példa arra, hogyan WAF javíthatja a biztonságot a webes alkalmazások és Damn sérülékeny Web Application (DVWA) - ügyben, amint WAF lehet megkerülni. PHP-IDS lehet engedélyezni vagy tiltani egyetlen kattintással a megfelelő gombra.
DVWA nem versenyez a biztonsági rés a webes alkalmazások, a sebezhetőség belül DVWA vannak jelen, és ezért hogyan Pozabottes hol telepítését tervezi DVWA.
DVWA aktív lépéseket a felhasználók védelme érdekében, ahol csak lehetséges. Ezt jelzi a feltűnő jelek, beleértve az alkalmazás, a figyelmeztetéseket. By DVWA csak akkor lehet hozzáférni a localhost helyett a távoli gépről, tette beállításával bizonyos szabályokat a .htaccess fájlt, amely része a kérelmet.
DVWA is tartalmaz egy robots.txt fájlt, ha az alkalmazás még mindig lemerült a webkiszolgáló internet hozzáféréssel, a fájl ments keresőmotorok index az alkalmazást.
Minden, amely tartalmaz egy biztonsági rés, amely kapcsolatban áll a külső forrásokat, amelyek további információkat tartalmaznak egy adott biztonsági rést. Ha rákattint a külső link, a távoli kiszolgáló gyűjthet információkat, mint a „Hivatkozás” HTTP. Ez az információ tartalmazza az URL, ahol az alkalmazás telepítve van, potenciálisan, szerver adminisztrátorok láthatja ezt az információt, és veszélyeztetheti a szerveren futó DVWA. Ezen okok miatt az összes külső hivatkozások DVWA áthaladnak megbízható harmadik fél proxy, ami törli minden érzékeny információt a HTTP-fejléceket.
Hitelesítő adatokat DVWA:
a fenébe sérülékeny Web Application Guide (DVWA)
ember hiányzik az oldalt.
Telepítése Damn sérülékeny Web Application (DVWA)
DVWA lehet telepíteni bármilyen rendszerben, ahol az Apache, a PHP és a MySQL, beleértve a Windows. De DVWA a PHP 5 és a legtöbb modern rendszerek alapértelmezésben használni a PHP 7, ami problémákat okozhat telepítésével vagy működésképtelensége néhány vagy az összes komponenst.
Telepítésével kapcsolatos információkért más operációs rendszereket kell hozzá később.
Pillanatképek Damn sérülékeny Web Application (DVWA)
Frissítse Damn sérülékeny Web Application (DVWA) Samurai Web tesztelési keretrendszer
Futtassa a következő fájlt:
Ide beállítása / visszaállítása DB oldal DVWA és reset / újra az adatbázis létrehozásakor.
Frissítse Damn sérülékeny Web Application (DVWA) a Web Security Dojo
Futtassa a következő fájlt:
Telepítése Damn sérülékeny Web Application (DVWA) Kali Linux
Mentse a következő parancsokat a fájl upd_dvwa.sh:
Futtassa a következő fájlt:
Menjen a Setup / Reset D B oldal DVWA és reset / újra az adatbázis létrehozásakor.
Ugyanez a szkript is használható DVWA frissítéseket az új verziók megjelenésével.
A rendszer újraindítása után, mielőtt a sérülékeny alkalmazások ne felejtsük el, hogy fut az Apache és a MySQL:
Továbbá, ha megváltoztatja a jelszót a MySQL (nincs jelszó az alapértelmezett), telepítse a fájlban: