A. DVWA Введение
DVWA (Damn Уязвимые веб - приложения) используется для уязвимостей , выявленных в PHP / MySQL веб - приложений, предназначенных для проверки их профессиональные навыки и инструменты для специалистов по безопасности , чтобы обеспечить правовую среду для веб - разработчиков , помогают лучше понять веб процесс безопасности приложений. DVWA всего десять модулей, а именно:
Brute Force (насилие (трещина))
Командование Injection (команда инъекция)
CSRF (межсайтовый запрос подлог)
Файл в инклюзии (файл , содержащий)
заточить Загрузить (загрузить файл)
Insecure CAPTCHA , (небезопасная проверка код)
инъекция SQL (SQL - инъекция)
инъекция SQL (слепая) (SQL - слепой)
XSS (отражение) (отражательная XSS)
XSS (сохраненный) (хранение типа XSS)
Обратите внимание , что, DVWA 1.9 с кодовым разделением каналов на четыре уровня безопасности:
низкий, средний, высокий, невозможно.
Можно сравнить четыре уровня кода доступа к некоторому содержимому PHP кода аудита.
Для того, чтобы построить два .DVWA
1. Скачать phpStudy
http://phpstudy.php.cn/
phpStudy является интеграция Apache и MySql интегрированной среды, загрузите phpStudy установки хорошо,
если отображается отсутствие VC выполнения работы
32-битного VC9: HTTP: //www.microsoft.com/zh -CN / скачать / Details.aspx указанное выше ид = 5582?
64-бит VC9: HTTP :? //www.microsoft.com/zh-CN/download/details.aspx ID = 15336
после установки 127.0.0.1 посмотреть , если вы можете запустить появится экран
загрузки DVWA http://www.dvwa.co.uk/
скачать, распаковать, положить в директории WWW phpStudy
2. Настройка лучше первый из всех соответствующих документов о конфигурации базы данных паролей phpStudy
После модификации DVWA в / confing из config.inc.php.dist изменить
config.inc.php, найти один из оригинального пароль_базы_данных вместо этого просто установить
3. Изменить успешно доступ 127.0.0.1/DVWA
Ну , если нет , то создать проблемы будут автоматически переходить на экран Логин
имя пользователя / пароль: админ / пароль
Список уязвимостей на три .DVWA
DVMA как предполагает его название это приложение , которое содержит много уязвимостей. DVWA уязвимости , включая OWASP oepen проекта по обеспечению безопасности веб - приложений на веб - 10 большой лазейку. DVWA который специально включает в себя следующие уязвимости:
1. скотины уязвимость позиция тестирования в уязвимость по перебору странице входа. Эта уязвимость используется для тестирования инструментов и грубой силы показывают небезопасных слабые пароли.
2. Выполнение команд Уязвимости выполнять команды на системе риски.
3.CSRF запрос межсайтовый подделке уязвимость позволяет злоумышленнику модифицировать приложение пароля администратора.
4.SQL инъекции, DVWA включая жалюзи и тип ошибки с шипами с двумя типами уязвимостей SQL - инъекции.
5. небезопасным уязвимость загрузки файлов , что позволяет злоумышленнику загружать вредоносные файлы на веб - сервер
6.XSS Cross-Site Scripting уязвимость позволяет злоумышленнику внедрить свой собственный скрипт на веб - сервере. Система DVWA которая включает в себя отражательный тип памяти и XSS XSS два типа.
7. Файл содержит лазейки , которые позволяют локальный и удаленный файл , содержащий файл , содержащий выполнения Лобного
8. Коды байпасный