因為自己是資安小白!之前也只有修習過資料庫,知道一些攻擊而已,所以想利用前10天來練習看看簡單入門的攻擊手法~~~
這次有利用DWVA網站來測試]
DWVA(全名Damn Vulnerable Web Application)
是專門用於Web安全學習與測試的開源模板機系統。它模擬了包含多個漏洞的網頁應用程式環境,讓安全專業人員和開發者練習滲透測試技術,了解Web應用其漏洞防護方法。 DVWA涵蓋多種常見攻擊類型,如暴力破解、命令注入、跨站請求格式(CSRF)、檔案上傳、不安全驗證碼、SQL注入、盲注、初始化及儲存型跨站等腳本,基本上涵蓋了OWASP Top 10漏洞。
此外,DVWA 提供四種安全難度模式:低、中、高及不可能,從無防護到近乎不可能被滲透,讓使用者根據能力逐步挑戰和學習。這種設計既方便初學者入門,也適合進階使用者深入研究漏洞的成因和利用方式。 DVWA 通常與 PHP/MySQL 環境一起架設,例如透過 XAMPP 等工具,並支援使用者調整靶機原始碼的安全等級進行實作。
Kali Linux安裝與基本工具介紹
Kali Linux是一套專為資安滲透測試設計的Linux發行版,內建數百資安工具,是專業攻防必備環境。
滲透測試能模擬駭客攻擊行為,找出系統弱點並修補,有效減少實際被攻擊風險。
為了維護電腦這次還有裝VIRTUAL BOX虛擬機來測試呦!!!!
那就來詳細安裝步驟吧!!!
1)下載並準備
進入 Kali Linux官方網站:https://www.kali.org/get-kali/
下載適合自己系統的ISO映像檔(建議64位元最新版)。
下載並安裝虛擬機軟體(VirtualBox或VMware Player)。
2)虛擬機創建
開啟虛擬機軟體,建立新虛擬機,選擇Linux > Debian (64-bit)。
分配記憶體(建議至少2GB)。
建立虛擬硬碟(至少20GB)。
掛載已下載的 Kali Linux ISO映像檔。
3)進行安裝
啟動虛擬機,選擇「Graphical install」。
選擇語言、時區、鍵盤配置。
設定主機名稱與使用者帳號密碼。
硬碟分割建議用「引導式 - 使用整個磁碟」。
等待系統自動安裝,期間保持網路連線。
安裝完成後重新啟動,輸入登入帳密。
四)基礎使用介紹
登入後,打開終端機。
掌握典型Web漏洞是資安入門關鍵之一,有助於了解攻擊面與相應防禦方法。
所以接下來要用終端機來啟動我們的網頁啦!!!
安裝步驟詳解
1)安裝Apache, MySQL, PHP環境
打開 Kali Linux終端機,執行:
bash
sudo apt update
sudo apt install apache2 mysql-server php php-mysqli libapache2-mod-php -y
啟動Apache和MySQL服務:
bash
sudo service apache2 start
sudo service mysql start
2)取得DVWA原始碼
使用 git 下載:
bash
git clone https://github.com/digininja/DVWA.git
將DVWA放到Apache根目錄下:
bash
sudo mv DVWA /var/www/html/
設定權限:
bash
sudo chown -R www-data:www-data /var/www/html/DVWA
sudo chmod -R 755 /var/www/html/DVWA
3)設定資料庫
進入 MySQL:
bash
sudo mysql -u root
新增資料庫與使用者:
sql
CREATE DATABASE dvwa;
GRANT ALL PRIVILEGES ON dvwa.* TO 'dvwauser'@'localhost' IDENTIFIED BY 'password';
FLUSH PRIVILEGES;
EXIT;
編輯 DVWA 設定檔 /var/www/html/DVWA/config/config.inc.php,設定資料庫帳密。
四)完成安裝
打開瀏覽器訪問
http://localhost/DVWA/setup.php。
點擊「Create / Reset Database」。
登入預設帳號:admin / password。
**調整安全等級為 Low 進行攻防練習。**這超重要的!因為一開始的強度較高,簡單的暴力注入攻擊對它來說沒有用,要調低才能練到簡單SQL語法喲!!!