【网络安全学习】渗透测试篇01-DVWA靶场环境搭建教程
渗透测试:通过经授权的模拟攻击,发现存在的漏洞,并以此对网络、主机、应用及数据的安全性进行评估。
靶场作用:在合法的环境下进行网络安全学习与演练
目录
为什么写这篇文章?
介绍及注意事项
环境搭建
1. 搭建对应的Web服务器
2. DVWA靶机环境搭建
为什么写这篇文章?
网上不乏有许多类似的教程,但经过笔者检验后发现,多数的文章内容相近且不详细。使笔者在进行环境搭建的过程中着实走了不少弯路。就连DVWA的下载链接也早已不可用,因此为帮助学习者节省时间,笔者重新归纳了整套流程并将其发布于此。
介绍及注意事项
DVWA(Damn Vulnerable Web Application)是一款PHP/MySQL的网络应用程序,其设计目的主要是为了帮助安全专家们在合法的环境下测试他们的技能和工具,或是帮助学生和开发者们更好地理解和学习网络应用程序的安全知识,比如Web渗透。由于是开源的系统,因此在练习渗透技术的同时可阅读源代码,并以此学习常见漏洞的安全防护编码。
和它的名字一样,应用本身有很多糟糕的漏洞,因此,来自DVWA开发者的建议是使用虚拟机并在NAT网络模式下使用。笔者个人的建议是在配置完成后在断网或飞行模式下进入。
这篇文章主要是有关Windows系统下的搭建教程,Linux环境的话可浏览底下给出的官方原始链接进行具体研究。
环境搭建
1. 搭建对应的Web服务器
由于DVWA是通过PHP与MySQL开发的,因此首先要在系统中搭建一个支持PHP的Web服务器。对此,DVWA的开发者并没有要求。网上许多文章里推荐使用的是phpStudy,总体来说还是挺方便的,因此笔者这篇教程里也采用同样的软件。
首先是下载,通过官网下载对应安装包。
地址是:官网链接(https://www.xp.cn)
请根据自己的Windows系统下载对应版本的软件安装包。Linux系统下的安装可根据官网的说明来,对此不做赘述。
使用流程:
1) 安装完成后打开软件,在首页的一键启动里找到“WNMP”,点击启动。
2) 打开浏览器,键入"localhost"或"127.0.0.1",随后回车。此时网页上会出现"站点创建成功"的文字提示。
3) 再次切换到phpStudy,在首页的"套件"中将"Apache"与"MySQL"两个服务启动。
2. DVWA靶机环境搭建
网上的大部分链接已不可用。这里建议使用DVWA的开发链接进行下载,地址是:开发者链接(digininja的github)。
在README.md里找到DOWNLOAD栏,点击"Download a ZIP of the files"进行下载。
也可git下载:git clone https://github.com/digininja/DVWA.git
之后执行以下步骤:
1) 将下载好的压缩文件解压到phpStudy的目录内,具体地址是:(安装地址)/phpstudy_pro/WWW
2) 对解压后文件夹进行重命名,名称更改为"DVWA"。
3) 打开DVWA内的config文件夹,备份一次config.inc.php.dist文件,随后将原始文件重命名为"config.inc.php",也就是删除".dist"后缀。
4) 用记事本打开config.inc.php文件,找到具体信息并更改为如下:
$_DVWA = array();
$_DVWA[ 'db_server' ] = '127.0.0.1';
$_DVWA[ 'db_database' ] = 'dvwa';
$_DVWA[ 'db_user' ] = 'root';
$_DVWA[ 'db_password' ] = 'root';
$_DVWA[ 'db_port'] = '3306';
5) 浏览器键入"localhost/DVWA"回车,最底下找到并点击"Create/Reset Database"按钮
6) 在登录界面键入用户名"admin"与密码"password",点击"login"。登录界面地址是:http://localhost/DVWA/login.php或http://127.0.0.1/DVWA/login.php
7) 登录成功后可访问靶机
那么接下来就可以开始进行渗透测试啦!
敬请期待下一篇:【网络安全学习】渗透测试篇02-数据截取教程(上)
【网络安全学习】渗透测试篇01-DVWA靶场环境搭建教程相关推荐
- DVWA靶场环境搭建_SQL注入模拟靶机
今天讲DVWA的两个重要方面:DVWA靶场环境搭建以及SQL注入模拟靶机 DVWA介绍:在近些年网络安全的高速发展中,初学者已经很难找到一个网站进行渗透了,曾几何时,一个漏洞,一个工具就可以在网上找到 ...
- DVWA靶场虚拟机搭建教程
DVWA是一款面世时间较长的Web渗透靶场,向网络安全专业人员提供合法的专业技能和应用测试环境,其特点是提供了包含Low.Medium.High.Impossible四个等级的渗透防护,防护等级越高, ...
- 【网络安全学习】渗透测试篇02-数据截取教程(上)
抓包(packet capture)意指将发送与接收的数据包进行截获.重发.编辑.转存等操作 目录 为什么要学习原理? 使用BurpSuite进行抓包之应用程序的选取与安装 为什么要学习原理? 通过上 ...
- 自学渗透测试:使用 DVWA 和 SQLmap 探寻 SQL 注入攻击与防范
数据来源 本文仅用于信息安全学习,请遵守相关法律法规,严禁用于非法途径.若观众因此作出任何危害网络安全的行为,后果自负,与本人无关. 01 耳熟能详的SQ注入是什么? 关于SQL注入漏洞,维基 ...
- “菜鸟安服仔”必用兵器之“渗透测试篇一”
"菜鸟黑客"必用兵器之"渗透测试篇一" "菜鸟黑客"必用兵器之"渗透测试篇一" 大家好,我还是你们的老朋友"信 ...
- 视频教程-网络安全与渗透测试工程师-渗透测试
网络安全与渗透测试工程师 云知梦创始人,国际架构师,11年互联网培训和开发经验,曾在港电讯盈科.北大青鸟集团.远大教育.北京易第优教育等公司任职曾获得美国红帽RHCA构架师和RHCDS数据中心讲师,在 ...
- “安服仔”必用兵器之“渗透测试篇一”
""必用兵器之"渗透测试篇一" ""必用兵器之"渗透测试篇一" 大家好,我还是你们的老朋友"信息安全我来讲你来 ...
- 什么是渗透测试?如何学习渗透测试?
渗透测试是网络安全体系中细分的就业方向之一,该岗位对实操经验.技术水平要求较高,必须通过专业的培训才可以满足企业用人需求.因此为了快速成为一名专业的渗透测试工程师,大部分人都会选择参加培训.那么什么是 ...
- 动手学深度学习番外篇 01.为什么from d2l import torch as d2l
动手学深度学习番外篇 01.为什么from d2l import torch as d2l 在跟着网站动手学深度学习学习的时候,发现代码开头中经常要运行这样一句话 from d2l import to ...
最新文章
- 孩子听不进道理怎么办?
- 基于pygtk的linux有道词典
- SpringSecurity OAuth2在项目中使用完成的功能说明
- 1018 锤子剪刀布 (20分)
- Hibernate:More than one row with the given identifier was found解决办法
- .netframewor划时代的系统:纪念Vista发布5周年
- 第0次作业 -- 博客园作业提交方法
- javaweb中运用fileupload上传文件
- [BZOJ5010][FJOI2017]矩阵填数(状压DP)
- jq上下级元素查找方法
- PHP-dede学习:common.ini.php文件
- adb工具包_如何使用命令刷机 ADB与FASTBOOT工具使用教程
- elas源码赏析(二)sobel算子3*3行列分解快速卷积
- 教你快速将多个TXT文档合并成一个
- DNS地址,DNS服务器作用
- C语言之基本算法15—前三位和后三位都是完全平方数的六位完全平方数
- 允许使用计算机的软件,解决win10“你的电脑设置仅允许安装来自应用商店的应用”的方法...
- 【转】26张PPT让你告别拖延症
- form表单—2种提交方式
- 老男孩数据库学习记录
热门文章
- C语言(##)连接符号的简单使用
- 笔记12(36-40)域名重定向,用户认证,nginx访问日志,日志切割
- 缺少dll文件的终极解决办法!
- java 线程resume_为什么java线程不推荐调用stop,suspend,resume方法
- ajax怎么实现回调,jQuery API学习之ajax与回调对象篇
- [ArcGIS].txt或.xlxs(Excel)格式如何转为.shp格式?
- 动态的渐变色网页背景
- 长虹 Watch FLY 智能手表 评测
- 轻小说搜索及下载(基于8wenku)-python
- 复利java_复利计算1.0,2.0,3.0(java)