iT邦幫忙

2024 iThome 鐵人賽

DAY 10
0
Security

【開局地端紅隊小白與雲端資安的清晨Punch】系列 第 10

【開局地端紅隊小白與雲端資安的清晨Punch】Day10 DVWA設定

  • 分享至 

  • xImage
  •  

貳、DVWA環境設置

MySQL 步驟參考: 實戰工作坊 — — DVWA(Damn Vulnerable Web Application)
DVWA使用說明參考: 渗透初识之DVWA靶场搭建及使用(详细图文)

一、MySQL

  • sudo mysql
    image

  • create user ‘dvwa’@’localhost’ identified by '';
    image

  • select user, host, password from mysql.user;
    image

  • grant all privileges on *.* to ‘dvwa’@’localhost’ ;
    image

  • flush privileges;
    image

  • 離開MySQL: \q
    image


登入後在側邊攔選擇 Setup DVWA --> 可以按下下方"Create/Reset DB"按鈕來創建新的DB
image

image

  • 會被先登出再登入一次,再來就可以看到基礎頁面設定完成

image

  • 可以設置攻克難度,代表挑戰難度

image

參、DVWA 官方文件(概念~安裝)

參考: DVWA docs DVWA_v1.3.pdf 說明文件

一、概念說明

DVWA會建好一個網站,調整網站的難易度來代表攻擊難度,並選擇側邊攔,可以先觀察網頁的初始功能與型態,並且思考要選擇什麼攻擊手法,並驗證攻擊

二、Introduction

image

三、License

image

四、Warning

image

五、Installation

image

  • Windows
  • Linux

image

六、Vulnerabilities(By OWASP Top 10, 2010)

image

image

image

七、DVWA 所提供的網站漏洞功能:

  • 暴力破解 (Brute Force): 測試密碼暴力破解工具及顯示弱密碼的風險。
  • 命令注入 (Command Injection): 在底層作業系統上執行任意命令。
  • 跨站請求偽造 (CSRF): 攻擊者能夠偽造請求來更改應用程式的管理員密碼或其他設定。
  • 檔案包含 (File Inclusion): 允許攻擊者將遠端或本地檔案包含到網頁應用程式中。
  • 不安全檔案上傳 (File Upload): 允許攻擊者將惡意檔案上傳到伺服器。
  • 不安全的 CAPTCHA (Insecure CAPTCHA): 測試 CAPTCHA 機制的脆弱性。
  • SQL 注入 (SQL Injection): 允許攻擊者將 SQL 語句注入到 HTTP 表單輸入框中。DVWA 包括盲目 SQL 注入和錯誤 SQL 注入。
  • 盲目 SQL 注入 (SQL Injection - Blind): 通過無法直接看到錯誤消息的方式進行 SQL 注入。
  • 弱會話 ID (Weak Session IDs): 測試會話 ID 的弱點,可能導致會話劫持。
  • DOM 型 XSS (XSS - DOM): 攻擊者利用 Document Object Model (DOM) 操作注入惡意腳本。
  • 反射型 XSS (XSS - Reflected): 攻擊者在即時回應中注入惡意腳本。
  • 儲存型 XSS (XSS - Stored): 攻擊者將惡意腳本儲存在伺服器端,影響到所有讀取該腳本的用戶。
  • 內容安全政策繞過 (CSP Bypass): 測試繞過內容安全政策 (CSP) 的能力,實施更靈活的腳本注入。
  • JavaScript: 測試與 JavaScript 相關的安全漏洞。
  • 授權繞過 (Authorization Bypass): 測試繞過授權機制的漏洞,以取得未經授權的資源。
  • 開放 HTTP 重定向 (Open HTTP Redirect): 測試是否能夠利用 HTTP 重定向進行釣魚攻擊或其他不當操作。

八、OWASP Top 10 2023

image

OWASP Top 10 API Security Risks – 2023


上一篇
【開局地端紅隊小白與雲端資安的清晨Punch】Day9 Docker下載DVWA
下一篇
【開局地端紅隊小白與雲端資安的清晨Punch】Day11 DVWA 使用(XSS)
系列文
【開局地端紅隊小白與雲端資安的清晨Punch】30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言