Previous Article Next Article DVWA 練習弱點、網站應用程式的工具
Posted in Secutiry

DVWA 練習弱點、網站應用程式的工具

DVWA 練習弱點、網站應用程式的工具 Posted on 2013 年 05 月 30 日3 Comments

Damn Vulnerable Web App (DVWA)

DVWA 全名叫 Damn Vulnerable Web App

  1. 是一個 PHP + MySQL 架設起來的環境
  2. 可以練習、測試自已對弱點的專業知織如何
  3. 經由這環境的洗禮加強安全觀念
  4. 最新 release 為 2011-10

下載方式

用 SVN 指令

svn checkout http://dvwa.googlecode.com/svn/trunk/ dvwa-read-only

到這下載 https://code.google.com/p/dvwa/downloads/list

記得安裝/啟動 httpd、PHP、MySQL、php-mysql,不然也玩不了

初始化 DVWA

編輯 config/config.inc.php,改一下 mysql 的帳號密碼,預設 mysql 的 password 是空白,也可直接 $_DVWA[ ‘db_password’ ] = ”; ,空的,反正是練習嘛

瀏覽 http://2.2.2.2/dvwa/setup.php,按一下 Create / Reset Database

Damn Vulnerable Web App (DVWA)

這樣子就可以開始玩了 ( http://2.2.2.2/dvwa ),預設帳密為 admin / password

Damn Vulnerable Web App (DVWA)

這個工具是測試用,可別放於正式對外服務的環境嘿

DVWA 裡有幾個主題,像 Brute Force、SQL Injection 等等,每個主題裡都有資訊可以參考用

它還可以調整安全性,在 DVWA Security 調整,換句說法是被攻破的難易度

如果要重玩可再按一次 Create / Reset Database

Brute Force 可以用

admin' --

admin' #

等語法測試,直接打 admin / password 也行啦 :),又或者用一些~~~爆力破解工具 burp suite

Firefox 設定 proxy
Burp suite 使用proxy (intercept is on)
輸入帳密
action > send to intruder
intruder > postitions > clear
反白 password=後的數值 > add
Payloads > add 數值或是載入清單
Intruder > start attack
查看length長度不同,可能就是密碼

你可能會看到網頁的右下角有個 View SourceView Help,它是 DVWA 提供的 source code 比較,怎麼寫的比較 (安全性高、中、低),Help 就是說明囉

Command Execution 項目,給

 127.0.0.1

跟給

127.0.0.1 | ifconfig

會有不同結果,這代表什麼呢 :),如果安全生高點,就顯示

ERROR: You have entered an invalid IP

File Inclusion 項目,瀏覽

 http://2.2.2.2/dvwa/vulnerabilities/fi/?page=../../../../../../etc/passwd

你就看到好看的東西

SQL Injection 就丟以下給它

1' OR '1'='1

XSS stored 有以下五行的方式測試,第一行與第三行是會出現警告框,第二行是說明有可能可以透過不同大小寫,意思是說有時侯程式如果沒有判斷大小寫也是會被攻擊成功的

<script> alert("XSS!");</script>
<scrIPT>
<script> alert(document.cookie)</script> 
<iframe width=333 height=333 src=tw.yahoo.com> </iframe>
<script>document.location=‘ssorc.tw'</script>

玩玩後要想一下怎麼防禦

滲透測試
弱點掃描
程式字串過濾
不留奇怪的檔案在伺服器上,.bak 、 .inc 、.old 等等
定期改帳密
限制管理介面權限,誰才可以存取
關閉錯誤資訊
關閉主機資訊 : apache, php版本資訊
取消 Directory Indexing
用 robots.txt,只防有良心的 bot
定期更新
使用 IDS、IDP

參考

收集弱點應用程式於虛擬機器練習

  • http://code.google.com/p/owaspbwa/

金手指 :

  • http://pentestmonkey.net/category/cheat-sheet/sql-injection
  • http://ha.ckers.org/sqlinjection/
  • http://ha.ckers.org/xss.html

弱點資訊網站:

  • http://www.exploit-db.com
  • http://packetstormsecurity.org
  • http://www.securityfocus.com

3 comments

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *