Linux 安全渗透测试环境dvwa和owasp的区别以及dvwa的搭建步骤
Linux 安全渗透测试环境dvwa和owasp的区别以及dvwa的搭建步骤
OWASP,Open Web Application Security Project,OWASP BWA托管在SourceForge,一个流行的开源项目存储库中,
下载地址为:https://sourceforge.net/projects/owaspbwa/postdownload,
更多种类的靶机介绍:https://www.cnblogs.com/maliu666/p/9055164.html
owasp是一个安全测试项目集合,以虚拟机的形式打包,里面有很多种类的靶场,而dvwa是其中的一个专门针对web服务漏洞的测试靶场,也就是父子关系。那么,初学者应该从哪开始学习呢?建议从dvwa开始学习,学习的时候可以少很多干扰。
dvwa的下载地址:http://www.dvwa.co.uk/(英国佬的网站?),页面内找到download下载即可。该软件十分小哦,才1.2M,比起owasp要友好很多(owasp1.7G起步)。
你可以把dvwa想象成一个php项目(当做一个wordpress也可以),该项目安装非常类似wordpress这样的php项目,首先,是需要一个lnmp或者lamp的系统环境。
- owasp也提供了一个在线的dvwa网站,如果不想自己搭建服务器可以输入以下网址使用,和本地服务器一样的功能。
http://43.247.91.228:81 账号:admin密码:password,注意,是和下面所搭建的本地服务器一样功能的在线网站。
- WebGoat的在线网址:http://43.247.91.228:82/WebGoat/,该系统需要自己注册,进入上述页面后自行注册即可。
附:(WebGoat是一个用于讲解典型web漏洞的基于J2EE架构的web应用,他由著名的WEB应用安全研究组织OWASP精心设计并不断更新。WebGoat本身是一系列教程,其中设计了大量的web缺陷,一步步的指导用户如何去利用这些漏洞进行攻击,同时也指出了如何在程序设计和编码时避免这些漏洞。Web应用程序的设计者和测试者都可以在WebGoat中找到自己感兴趣的部分。虽然WebGoat中对于如何利用漏洞给出了大量的解释,但是还是比较有限,尤其是对于初学者来说,但觉得这正是其特色之处:WebGoat的每个教程都明确告诉你存在什么漏洞,但是如何去攻破要你自己去查阅资料)
环境搭建(我这里选择的是lamp,yum安装环境):
第一,yum install httpd php php-mysql php-gd mariadb mariadb-server -y
第二,初始化数据库
systemctl enable mariadb && systemctl start mariadb &&mysql_secure_installation
按照安全初始化脚本提示输入密码以及一系列的y加回车。
第三,建立dvwa所需要使用的数据库用户dvwa并给该用户赋予权限并开启远程连接。
MariaDB [(none)]> update mysql.user set host='%' where user='root';
ERROR 1062 (23000): Duplicate entry '%-root' for key 'PRIMARY'
MariaDB [(none)]> flush privileges;
Query OK, 0 rows affected (0.00 sec)
MariaDB [(none)]> create user 'dvwa'@'localhost' identified by '密码';
Query OK, 0 rows affected (0.00 sec)
MariaDB [(none)]> create user 'dvwa'@'%' identified by '密码';
Query OK, 0 rows affected (0.00 sec)
MariaDB [(none)]> grant all on dvwa.* to [email protected]'%' identified by '密码';
Query OK, 0 rows affected (0.00 sec)
第四,PHP配置文件的修改, vim /etc/php.ini
allow_url_fopen = On
allow_url_include = On #确保这两项是On
第五,解压下载下来的dvwa-master.zip 文件,并将文件夹内容放入http目录下。并赋予http用户权限
需要注意的是,下载的文件是zip格式,如不能解压,请 yum install unzip -y,假设该压缩文件放在root目录下,
unzip dvwa-master.zip && mv ./DVWA-master/* /var/www/html/ && chown -Rf apache. /var/www/html/
注意,chown -Rf apache. /var/www/html 这个命令也可以写成 chown -Rf apache:apache /var/www/html,
也就是 . 这个逗号可以写成 :apache ,这些是Linux的基础,不在赘述了。
第六,修改dvwa目录下的config目录下的config.inc.php文件
cd /var/www/html/config/ && cp config.inc.php.dist config.inc.php
vim config.inc.php #编辑该文件
$_DVWA[ 'db_server' ] = '本机IP';
$_DVWA[ 'db_password' ] = '数据库dvwa用户的密码';
$_DVWA[ 'recaptcha_public_key' ] = '6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT_yJg';
$_DVWA[ 'recaptcha_private_key' ] = '6LdK7xITAzzAAL_uw9YXVUOPoIHPZLfw2K1n5NVQ';
第七,重启httpd服务,浏览器输入 本机IP:/setup.php,如果没有红色报警,点击最下端的Create/Reset Database按钮,完成安装,(下面的示例图是忘了chown -Rf apache. /var/www/html/,执行这个命令就好了)
稍等几秒后,将会出现登陆界面,用户名为 admin 密码为 password,自此,dvwa安装完毕。