码迷,mamicode.com
首页 > Web开发 > 详细

【笔记】网易微专业-Web安全工程师-04.WEB安全实战-1.DVWA部署

时间:2018-02-24 21:56:27      阅读:315      评论:0      收藏:0      [点我收藏+]

标签:应用   工具   修复方法   store   pass   功能   文件   cte   上传   

课程概述:

纸上得来终觉浅,绝知此事要躬行。通过本课的学习和实战演练,让同学们深入理解并掌握常见Web安全漏洞的挖掘、利用技能,以及知晓修复方法。

课程大纲:

第一节.DVWA部署 

第二节.暴力破解

第三节.命令注入

第四节.CSRF

第五节.文件包含

第六节.文件上传

第七节.SQL回显注入

第八节.SQL盲注

第九节.XSS

笔记心得:

前面三个课程,主要介绍WEB基础知识,安全基础,常用安全工具等内容,前两课理论多些,第三课虽然介绍些工具,但没有整合起来使用。要想深刻理解WEB安全漏洞,就必须在实战中学习和积累。

在一切的开始,我们需要搭建好一个WEB渗透测试环境。

1. 安装PHP调试环境

phpStudy程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境。

http://www.phpstudy.net/

phpStudy安装还是很简单的,不再赘述,默认站点主目录在“安装路径/WWW”下。

另外,也可以下载使用XAMPP(Apache+MySQL+PHP+PERL),也是一个功能强大的建站集成软件包,安装也很简单,默认站点主目录在“安装路径\htdocs”下。

https://www.apachefriends.org/zh_cn/index.html

2. 部署DVWA

http://www.dvwa.co.uk/

DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。

DVWA共有十个模块,分别是:

  1. Brute Force(暴力(破解))
  2. Command Injection(命令行注入)
  3. CSRF(跨站请求伪造)
  4. File Inclusion(文件包含)
  5. File Upload(文件上传)
  6. Insecure CAPTCHA (不安全的验证码)
  7. SQL Injection(SQL注入)
  8. SQL Injection(Blind)(SQL盲注)
  9. XSS(Reflected)(反射型跨站脚本)
  10. XSS(Stored)(存储型跨站脚本)

分为四种安全级别:Low,Medium,High,Impossible。

测试者可以通过比较四种级别的代码,逐步掌握每种渗透方式的原理和防御。

  1. 官网下载DVWA部署包,解压后放置于phpStudy安装路径的WWW目录下,文件夹可重命名为dvwa。
  2. 进入config,修改config.inc.php里的数据库配置。
  3. 打开浏览器输入http://127.0.0.1/dvwa/setup.php,点击右下角创建测试用数据库,如果报错,确认config.inc.php里的数据库配置正确。
  4. 打开浏览器输入http://127.0.0.1/dvwa/login.php,使用admin/password即可访问。

3. 其它工具

下载浏览器Firefox,安装第三章中提到的插件和工具。

【笔记】网易微专业-Web安全工程师-04.WEB安全实战-1.DVWA部署

标签:应用   工具   修复方法   store   pass   功能   文件   cte   上传   

原文地址:https://www.cnblogs.com/kplayer/p/8467541.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!