Fir-ar aplicație web vulnerabile (dvwa) - Instrumente Linux kali
Descriere Fir-ar Vulnerabil Web Application (DVWA)
Fir-ar Vulnerabil Web Application (DVWA) - este pe PHP / MySQL aplicație web care al naibii de vulnerabile. Obiectivul său principal - pentru a ajuta profesioniștii de securitate pentru a testa abilitățile și instrumentele lor în mediul juridic pentru a ajuta dezvoltatorii web pentru a înțelege mai bine procesul de securitate aplicație web, și de a ajuta atât studenți și profesori în studiul de securitate aplicatii web in mediul de control al publicului.
Scopul DVWA de a practica unele dintre cele mai comune vulnerabilitati Web cu diferite nivele de complexitate, de la simplu linie dreaptă de interfață. Vă rugăm să rețineți că există atât vulnerabilități documentate și fără forme legale în acest software. Acest lucru este intenționată. Sunteți invitat să încercați și să găsească cât mai multe vulnerabilități ca tine poate.
Fir-ar Vulnerabil aplicații web al naibii de vulnerabile! Nu-l încărcați în dosarul HTML public al furnizorului de servicii de găzduire sau pe orice server care are acces la Internet, deoarece acestea vor fi compromise. Se recomandă să utilizați o mașină virtuală (cum ar fi VirtualBox sau VMware), care sunt instalate în modul NAT de rețea. În mașinile de oaspeți puteți descărca și instala un server web și baze de date.
Unele dintre vulnerabilitățile de aplicații Web, care conține DVWA;
- Brute-force. Formularul HTTP-Brute forță bazată pe pagină de conectare; utilizate pentru instrumente de testare pentru atacul asupra unei parole prin forță brută și arată nesiguranța parolelor slabe.
- Executie (implementare) de comandă. Rularea comenzi nivelul sistemului de operare.
- cerere cross-site-ul fals (CSRF): Vă permite să „atace“ schimba aplicațiile parola de administrator.
- Punerea în aplicare (includ vulnerabilitate) fișiere. Acesta vă permite să „atace“ conecta fișiere la distanță / locale în aplicația web.
- SQL injecție: Vă permite să „atacator“, pentru a pune în aplicare declarația SQL în câmpul de introducere a HTTP, DVWA include orb și bazat pe o implementare eroare SQL.
- fișierelor de încărcare nesecurizate. Acesta vă permite să „atacator“ pentru a încărca fișiere malware pe un server web.
- site scripting (XSS). „Atac“ poate injecta script-ul într-o aplicație web / de baze de date. DVWA include XSS reflectate și stocate.
- Ouă de Paști: divulgarea de căi complete, de by-pass de autentificare, și altele.
Ajuta Fir-ar Vulnerabil Web Application (DVWA)
DVWA are trei niveluri de securitate, ele modifică nivelul de securitate pentru fiecare aplicație web în DVWA.
Imposibil - Acest nivel ar trebui să fie în siguranță împotriva tuturor vulnerabilităților. Este folosit pentru a compara codul sursă al vulnerabile cu o sursă sigură. Înainte de DVWA v1.9 acest nivel a fost cunoscut sub numele de „mare“.
Înaltă - Această expansiune de dificultate medie, cu un amestec de practici mai complexe sau alternative rău într-o încercare de a proteja codul. Vulnerabilitatea nu permite o astfel de spațiu de operare pe alte niveluri.
Mediu - Acest nivel de securitate este destinat în primul rând pentru a oferi utilizatorului un exemplu de practici de securitate ineficiente, în cazul în care dezvoltatorii au încercat să facă aplicație de securitate, dar nu a reușit. Acesta acționează, de asemenea, o provocare pentru utilizatori, astfel încât acestea au îmbunătățit tehnicile lor de operare.
Low - Acest nivel de securitate complet vulnerabil și complet nu este protejat. Scopul său este de a fi un exemplu de cele mai bune dintre aplicatia web vulnerabile, un exemplu de practici de programare rele și să servească drept platformă pentru învățarea tehnicilor de bază de exploatare.
De asemenea, DVWA puteți activa sau dezactiva PHP-IDS.
PHP-IDS - PHP este un sistem de detectare a intruziunilor populare (IDS), care sunt de asemenea cunoscute ca firewall-uri de aplicații web (Web Application Firewall (WAF)). PHP-IDS opereaza prin filtrare pe o listă neagră de cod potențial vulnerabile de orice date introduse de utilizator. PHP-IDS DVWA utilizat pentru a servi un exemplu viu al modului WAF poate contribui la îmbunătățirea securității aplicațiilor web și Fir-ar Vulnerabili Web Application (DVWA) - caz, după cum WAF poate fi eludate. PHP-IDS poate fi activat sau dezactivat cu un singur clic pe butonul corespunzător.
DVWA nu emula vulnerabilitatea aplicații web, vulnerabilitate în interiorul DVWA sunt prezente și, prin urmare, cum să Pozabottes despre cazul în care aveți de gând să instalați DVWA.
DVWA ia măsuri active pentru a proteja utilizatorii ori de câte ori este posibil. Acest lucru este indicat prin semne vizibile, inclusiv în cerere, cu avertismente. Prin DVWA pot fi accesate numai de la localhost, în loc de la o mașină de la distanță, a făcut ajustarea anumitor reguli în fișierul .htaccess, care este parte a cererii.
DVWA conține, de asemenea, un fișier robots.txt, în cazul în care cererea a fost încă descărcat la un server web cu acces la Internet, fișierul interzic motoarele de căutare să indexeze aplicația.
Pe fiecare pagină care conține o vulnerabilitate care are legături la resurse externe care conțin informații suplimentare referitoare la o vulnerabilitate specifică. Când faceți clic pe link-ul extern, serverul de la distanță poate colecta informații, cum ar fi HTTP „referer“. Aceste informații includ adresa URL în care este instalată aplicația, potențial, administratorii de servere pot vizualiza aceste informații, și compromite un server care se execută DVWA. Din aceste motive, toate link-urile externe DVWA trec prin proxy de încredere terță parte, care șterge orice informații sensibile din antetele HTTP.
Scrisorile de acreditare pentru a vă conecta DVWA:
Fir-ar de Vulnerabil Ghid de Web Application (DVWA)
om pagină lipsă.
Instalarea Fir-ar Vulnerabil Web Application (DVWA)
DVWA poate fi instalat în orice sistem în cazul în care există Apache, PHP si MySQL, inclusiv a celor din Windows. Dar DVWA necesită PHP 5, și în majoritatea sistemelor moderne în mod implicit utiliza PHP 7, ceea ce poate cauza probleme la instalarea sau inoperabilitate a unora sau a tuturor componentelor.
Pentru informații despre instalarea altor sisteme de operare vor fi adăugate mai târziu.
Imagini Fir-ar Vulnerabil Web Application (DVWA)
Actualizați Fir-ar Vulnerabil Web Application (DVWA) în Samurai cadru de testare web
Executați următorul fișier ca:
Du-te la Setup / Reset DB pagina DVWA și resetare / re-crearea bazei de date.
Actualizați Fir-ar Vulnerabil Web Application (DVWA) în Web Security Dojo
Executați următorul fișier ca:
Instalarea Fir-ar Vulnerabil Web Application (DVWA) în Kali Linux
Salvați următorul script într-un fișier upd_dvwa.sh:
Executați următorul fișier ca:
Du-te la Setup / Reset D pagina B DVWA și resetare / re-crearea bazei de date.
Același script poate fi folosit pentru a actualizărilor DVWA ca noi versiuni sunt lansate.
După repornirea sistemului de operare înainte de aplicațiile vulnerabile, nu uitați să rulați Apache și MySQL:
De asemenea, dacă schimbați parola pentru MySQL (nu parola este implicit), instalați-l în fișierul: