Linux 安全渗透测试环境dvwa和owasp的区别以及dvwa的搭建步骤

OWASP，Open Web Application Security Project，OWASP BWA托管在SourceForge，一个流行的开源项目存储库中，

下载地址为：https://sourceforge.net/projects/owaspbwa/postdownload，

更多种类的靶机介绍：https://www.cnblogs.com/maliu666/p/9055164.html

owasp是一个安全测试项目集合，以虚拟机的形式打包，里面有很多种类的靶场，而dvwa是其中的一个专门针对web服务漏洞的测试靶场，也就是父子关系。那么，初学者应该从哪开始学习呢？建议从dvwa开始学习，学习的时候可以少很多干扰。

dvwa的下载地址：http://www.dvwa.co.uk/（英国佬的网站？），页面内找到download下载即可。该软件十分小哦，才1.2M，比起owasp要友好很多（owasp1.7G起步）。

你可以把dvwa想象成一个php项目（当做一个wordpress也可以），该项目安装非常类似wordpress这样的php项目，首先，是需要一个lnmp或者lamp的系统环境。

• owasp也提供了一个在线的dvwa网站，如果不想自己搭建服务器可以输入以下网址使用，和本地服务器一样的功能。

http://43.247.91.228:81 账号：admin密码：password，注意，是和下面所搭建的本地服务器一样功能的在线网站。

• WebGoat的在线网址：http://43.247.91.228:82/WebGoat/，该系统需要自己注册，进入上述页面后自行注册即可。

附:(WebGoat是一个用于讲解典型web漏洞的基于J2EE架构的web应用，他由著名的WEB应用安全研究组织OWASP精心设计并不断更新。WebGoat本身是一系列教程，其中设计了大量的web缺陷，一步步的指导用户如何去利用这些漏洞进行攻击，同时也指出了如何在程序设计和编码时避免这些漏洞。Web应用程序的设计者和测试者都可以在WebGoat中找到自己感兴趣的部分。虽然WebGoat中对于如何利用漏洞给出了大量的解释，但是还是比较有限，尤其是对于初学者来说，但觉得这正是其特色之处：WebGoat的每个教程都明确告诉你存在什么漏洞，但是如何去攻破要你自己去查阅资料)

环境搭建（我这里选择的是lamp，yum安装环境）：

第一，yum install httpd php php-mysql php-gd mariadb mariadb-server -y

第二，初始化数据库

systemctl enable mariadb && systemctl start mariadb &&mysql_secure_installation

按照安全初始化脚本提示输入密码以及一系列的y加回车。

第三，建立dvwa所需要使用的数据库用户dvwa并给该用户赋予权限并开启远程连接。

MariaDB [(none)]> update mysql.user set host='%' where user='root';
ERROR 1062 (23000): Duplicate entry '%-root' for key 'PRIMARY'
MariaDB [(none)]> flush privileges;
Query OK, 0 rows affected (0.00 sec)

MariaDB [(none)]> create user 'dvwa'@'localhost' identified by '密码';
Query OK, 0 rows affected (0.00 sec)

MariaDB [(none)]> create user 'dvwa'@'%' identified by '密码';
Query OK, 0 rows affected (0.00 sec)

MariaDB [(none)]> grant all on dvwa.* to [email protected]'%' identified by '密码';
Query OK, 0 rows affected (0.00 sec)

第四，PHP配置文件的修改， vim  /etc/php.ini

allow_url_fopen = On
allow_url_include = On #确保这两项是On

第五，解压下载下来的dvwa-master.zip 文件，并将文件夹内容放入http目录下。并赋予http用户权限

需要注意的是，下载的文件是zip格式，如不能解压，请 yum install unzip -y,假设该压缩文件放在root目录下，

unzip dvwa-master.zip && mv ./DVWA-master/* /var/www/html/ && chown -Rf  apache. /var/www/html/

注意，chown -Rf apache. /var/www/html 这个命令也可以写成   chown -Rf apache:apache /var/www/html,

也就是 . 这个逗号可以写成 ：apache ，这些是Linux的基础，不在赘述了。

第六，修改dvwa目录下的config目录下的config.inc.php文件

cd /var/www/html/config/ && cp config.inc.php.dist config.inc.php   

vim config.inc.php  #编辑该文件

$_DVWA[ 'db_server' ]   = '本机IP';

$_DVWA[ 'db_password' ] = '数据库dvwa用户的密码';

$_DVWA[ 'recaptcha_public_key' ]  = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg';

$_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ';

第七，重启httpd服务，浏览器输入 本机IP:/setup.php，如果没有红色报警，点击最下端的Create/Reset Database按钮，完成安装，(下面的示例图是忘了chown -Rf  apache. /var/www/html/，执行这个命令就好了)

 

稍等几秒后，将会出现登陆界面，用户名为 admin 密码为 password，自此，dvwa安装完毕。