黑客攻防演练靶站DVWA应用实践

一.引言

学习黑客攻防技术在以前经常是通过虚拟机自搭建服务来练习, 但自搭建的服务通常只针对包含某一个特定的漏洞,如果想学习其它的知识,往往需要找到对应漏洞版本的组件来独立安装,非常不方便。

DVWA(Damn Vulnerable Web Application)是一个专门用于渗透测试和安全培训的开源漏洞Web应用程序, 其中包含了多个模拟Web漏洞的组件,功能包括:暴力破解、命令注入、CSRF、文件包含、上传文件、不安全的验证码、SQL注入、SQL注入(盲注)、弱会话ID、跨站脚本攻击、XSS(反射)、XSS(存储)、JavaScript、CSP(内容安全策略)绕过。DVWA可以通过对各种漏洞的利用练习提高渗透测试技能,也可以用于安全培训和教学, 它提供了一个合法且无害的渗透测试环境。

DVWA需要一些基础的Linux、PHP和SQL知识, 需要了解一些Web渗透测试的基本概念,适合安全爱好者和专业测试人员使用,它降低了构建漏洞环境的门槛,使安全测试更简单直接。

二.DVWA部署运行

安装DVWA最简单直接的方法是通过Docker安装, 避免了中间的众多配置过程, 下面将在一台ubuntu虚拟镜像中进行部署 演示,假设环境已经安装好Docker, 通过执行命令: docker --version能够看到版本号表示Docker已经安装成功。

在命令行终端中输入命令：

docker pull vulnerables/web-dvwa

命令执行后,将自动拉取最新的镜像, 安装过程如图所示:

安装结束后, 根据官方文档描述,执行以下命令: