DVWA(Damn Vulnerable Web Application)脆弱性環境は、SQLインジェクション、XSS、ファイルアップロード、ファイルインクルード、CSRFなどの基本的な脆弱性環境を含むオープンソースの脆弱性テストプラットフォームです。
1準備
環境を構築するために必要な他の環境
- VScode(PHPを実行するようにプラグインを構成します)
- PHPオペレーティング環境
- MySQLオペレーティング環境
2脆弱性環境を構築する
Kaliで環境をセットアップする代わりに、自分の物理マシンで、仮想マシンにセットアップするたびに仮想マシンをオンにする必要があります。これは面倒です。
MySQLで新しいデータベースを作成します(Navicatをお勧めします)
VScodeを使用してdvwaフォルダーを開き、configフォルダーに入ってconfig.inc.php.distファイルを編集し、config.inc.php.distの名前をconfig.inc.phpに変更します。
VScodeプラグインを使用して、現在のプロジェクトを実行します。正常に動作した後、パスhttp:// localhost:4000 / setup.phpを開き、[データベースの作成/リセット]をクリックします。ログインのデフォルトアカウントはadmin
で、パスワードはpassword
です。
Navicatをチェックして、新しいデータテーブルが作成されていることを確認します。
3構成
以前のhttp:// localhost:4000 / setup.phpに戻って、完全に構成されていない領域を確認できます。
以下に示すように
上の図では、赤で示されている2つの構成があります。
- allow_url_include red
- reCAPTCHAキーレッド
構成の下に構成方法があります。
3.1配置許可_url_include
allow_url_includeが有効になっていない場合は、php.iniを変更してください。変更するには、下部のプロンプトを参照してください。
; Whether to allow the treatment of URLs (like http:// or ftp://) as files.
; http://php.net/allow-url-fopen
allow_url_fopen = On
; Whether to allow include/require to open URLs (like http:// or ftp://) as files.
; http://php.net/allow-url-include
allow_url_include = On
3.2 reCAPTCHA
キーは自分で生成できます。アドレスはhttps://www.google.com/recaptcha/admin/createです。reCAPTCHAに登録するときは、V3バージョンに注意する必要があります。DVWAでエラーが表示されます。 V2バージョンは正常です。
ラベルは自分の好みに応じて設定され、reCAPTCHAタイプは第2版の第1版に設定されます。保存後、公開鍵と秘密鍵を取得できます。
構成ファイルdvwa / config /config.inc.phpを編集します
$_DVWA[ 'recaptcha_public_key' ] = '6LeaSDsaAAAAADdDGBCByaqcBLrWa6oKr-aKqBg4';
$_DVWA[ 'recaptcha_private_key' ] = '6LeaSDsaAAAAAIkRd3FVpb1bE5YkIgbmOis297fe';