Cài đặt mã nguồn DVWA thực hành khai thác lỗi web

1772
This entry is part 2 of 3 in the series Thực hành bảo mật ứng dụng web với DVWA

Bài hướng dẫn này sẽ giúp các bạn cài đặt mã nguồn DVWA nhằm mục đích thực hành khai thác các lỗi pentest cơ bản mà DVWA xây dựng sẵn cho các bạn. DVWA là gì ? Là một bộ mã nguồn source code PHP được thiết kế để tồn tại các lỗ hổng ở mức ứng dụng web và sử dụng cho các quản trị viên hoặc những ai yêu thích bảo mật tham khảo và thực hành. Điều lưu tâm rằng, đây đều là các mức khai thác lỗi cơ bản đến khi đụng thực tế thì mọi thứ không dễ như các bạn tưởng.

Với hướng dẫn cài đặt thì chúng ta cần cài đặt 3 dịch vụ gồm dịch vụ CSDL MySQL/MariaDB, web server Apache/ Nginx và PHP. Các hướng dẫn cài đặt 3 dịch vụ trên các bạn có thể tìm hiểu trước để xây dựng sẵn cho mình cả 3 dịch vụ, hiện tại vào thời điểm viết bài thì website của mình chưa có các bài hướng dẫn cài đặt các dịch vụ đấy. Mong các bạn thông cảm, mình sẽ lấy ví dụ link source site DVWA sẽ truy cập ở địa chỉ 192.168.1.100 :

1. Download mã nguồn của DVWA

Trang chủhttp://dvwa.co.uk
Githubhttps://github.com/ethicalhack3r/DVWA

1.1 Cài đặt mã nguồn

1.2 Thiết lập PHP.ini config

Do sử dụng để thực hành lổ hổng bảo mật, nên các cấu hình PHP.ini config nên được cấu hình cho phép như sau để thuận tiện trong việc khai thác lổ hổng.

2. Khởi tạo database và user cho DVWA

3. Cấu hình config của DVWA

Chúng ta cấu hình thông tin truy cập CSDL của DVWA cho chính xác với những thông tin đã tạo trên. Giả sử source code nằm ở thư mục ‘/var/www/html/’ .

4. Thiết lập Database cơ bản của DVWA

Truy cập đường dẫn link:  http://192.168.1.100/setup.php

Nhấn “Create/Reset Database” như vậy là trong CSDL của DVWA sẽ có 2 table duy nhất là “guestbook” dành cho lỗi XSS và “users” dành cho các lỗi khác.

5. Truy cập web DVWA bắt đầu thực hành

Từ lúc này bạn đã có thể truy cập http://192.168.1.100/login.php để đăng nhập và thực hành khai thác lỗi do DVWA mang đến.

Tài khoản mặc định sẽ là : admin/password

Vậy là chúng ta đã hoàn thành phần cài đặt mã nguồn DVWA cho việc thực hành khai thác lỗi bảo mật ứng dụng web. Mình sẽ cập nhật các nội dung kế sau này. Cám ơn các bạn đã xem.

Series Navigation<< DVWA là gì ? Damn Vulnerable Web Application là gì ?Thực hành DVWA: khai thác lổ hổng Command Injection, level security low >>
Đánh giá sao từ người đọc :
[ Tổng : 1 - Trung bình: 4 ]

LEAVE A REPLY