DVWA: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Dslokov (talk | contribs)
Mernits (talk | contribs)
 
(84 intermediate revisions by 3 users not shown)
Line 1: Line 1:
Damn Vulnerable Web App (DVWA)on PHP/MySQL veebirakendus mis on turvaaugu täis. Selle peamisteks eesmärkideks on olla abiks julgeoleku spetsialistidele oma oskuste ja vahendite testimiseks, ning arendajatele näidiseks kuidas et tohi oma rakenduse programmeerida.
==Autor==
<p>
<font size=4>Dmitri Šlõkov AK31</font> <br>
Esimene versioon 05/05/2012 <br>
Viimati muudetud <b>{{REVISIONDAY2}}/{{REVISIONMONTH}}/{{REVISIONYEAR}} {{REVISIONUSER}} 'i poolt.<br></b>
 
Timestamp <b>({{REVISIONTIMESTAMP}})</b>
</p>
 
==Sissejuhatus==
Damn Vulnerable Web App (DVWA)on PHP/MySQL veebirakendus mis on turvaauke täis. Selle peamisteks eesmärkideks on olla abiks julgeoleku spetsialistidele oma oskuste ja vahendite testimiseks, ning arendajatele näidiseks kuidas ei tohi oma rakendusi programmeerida.


[[File:Joonis1.png |400px|thumb|right|]]
[[File:Joonis1.png |400px|thumb|right|]]
Line 5: Line 15:
== Eeldused ==
== Eeldused ==


Eelduseks on arvutisse eelpaigaldatud Veebiserver(nt Apache), MySQL andmebaasimootor koos teadaoleva kasutajanimega ja salasõnaga ning PHP tugi, ning unzip arhiivi lahti pakimiseks.
Eelduseks on arvutisse eelpaigaldatud <B>Apache</B>, <B>MySQL</B> andmebaasimootor koos teadaoleva kasutajanimega ja salasõnaga ning <B>PHP</B> tugi, ning <B>Unzip</B> arhiivi lahti pakimiseks.
 
<pre>
sudo apt-get install apache2 libapache2-mod-php5 php5-mysql mysql-server unzip -y
</pre>
 
Ning tuleb end logida juurkasutajaks
<pre>sudo -i</pre>


== Allalaadimine ja lahtipakkimine ==
== Allalaadimine ja lahtipakkimine ==
<p>Allalaadimiseks tuleb kasutada käsureas "wget" rakendust ja kui kasutate grafiise keskkonnaga süsteemi siis veebilehitseja.</p>
 
[[File:Joonis2.png |400px|thumb|right|]]
 
[[File:Joonis3.png |400px|thumb|right|]]
 
<p>Allalaadimiseks tuleb kasutada käsureas <font size=4><i>"wget"</i></font> rakendust ja kui kasutate graafilise keskkonnaga süsteemi siis veebilehitseja.</p>
<pre>
<pre>
  wget http://dvwa.googlecode.com/files/DVWA-1.0.7.zip
wget https://codeload.github.com/RandomStorm/DVWA/zip/v1.0.8 -O DVWA-1.0.8.zip
</pre>
</pre>
Kui Unzip'i ei ole siis tuleb seda paigaldata.
<p>Kui <font size=4><i>Unzip</i>'i</font> ei ole siis tuleb see paigaldata käsuga:</p>
<pre>
<pre>
   apt-get install unzip  
   apt-get install unzip  
</pre>
</pre>
<p>Pakime lahti arhiivi sisu kasutades käsu:</p>
<pre>
  unzip DVWA-1.0.8.zip
</pre>
<p>Lahtipakitud failid tuleb liigutada Veebiserveri juurkausta :</p>
<pre>
<pre>
   unzip DVWA-1.0.7.zip
   mv DVWA-1.0.8 /var/www/dvwa
</pre>
</pre>
<p>
Muutke kasutaja ja grupp selliselt, et veebiserveril oleks õigus dvwa kausta kirjutada.</p>
<pre>
<pre>
  mv dvwa /var/www
chown www-data:www-data /var/www/dvwa/ -R
</pre>
</pre>


== Andmebaasi loomine ==
== Andmebaasi loomine ==


[[File:Joonis2.png |400px|thumb|right|]]
<p>Teeme lahti veebilehitsejaga</p>
http://SERVERI_IP/dvwa/index.php
<p>Kui vajalikud moodulid on paigaldatud siis ilmub jargmine pilt (Joonis1).</p>
<p>Vajutame <font size=4><i>"here"</i></font> linki peale. </p>
<p>Ette tuleb andmebaasi loomise leht, vajutame <font size=4><i>"Create / Reset Dataase".</i></font></p>
Kui MySQL root salasõnaks on midagit muud peale tühja salasõna, siis tuleb veateade <font size=4><i>"Could not connect to the database - please chack the config file "</i></font>.  


[[File:Joonis3.png |400px|thumb|right|]]
Selleks tekstiredaktoriga teeme lahti konfiguratsioonifaili  
 
<pre>
teeme lahti veebilehitsejaga http://127.0.0.1/dvwa/index.php
kui vajalikud moodulid on paigaldatud siis ilmub jargmine pilt (Joonis1).
 
Vajutame "here" linki peale.
 
 
 
Ette tuleb andmebaasi loomise leht, vajutame "Create / Reset Dataase".
Kui MySQL root salasõnaks on midagit muut peale tühja salasõnat siis tuleb veateade "Could not connect to the database - please chack the config file ". selleks tekstiredaktoriga teeme lahti konfiguratsioonifaili  
nano /var/www/dvwa/config/config.inc.php
nano /var/www/dvwa/config/config.inc.php
seal tuleb ülevaadata MySQL kredentials
</pre>
Seal tuleb ülevaadata MySQL kasutajanimi ja salasõna:


<pre>
$_DVWA[ 'db_user' ] = 'root';
$_DVWA[ 'db_user' ] = 'root';


Line 48: Line 76:


Salvestamiseks CTRL + X
Salvestamiseks CTRL + X
</pre>


kui see tegevus tehtud vajutame uuesti "Create / Reset Dataase".
<p>Kui see tegevus tehtud vajutame uuesti <font size=4><i>"Create / Reset Dataase"</i></font>
Kui rekvisiidid olid õigesti sisestatud siis ilmub järgmine pilt kus räägitakse millised tehingud olid teostatud.
Kui rekvisiidid olid õigesti sisestatud, siis ilmub järgmine pilt. Kus räägitakse millised tehingud olid teostatud.</p>




Valime vasakpoolsest menüüst "Home"
Valime vasakpoolsest menüüst <font size=4>"Home"</font>


== Sisselogimine ==
== Sisselogimine ==


Sisestame :
[[File:Joonis4.png |400px|thumb|right|]]
Kasutajanimeks : admin
<p>
Salasõnaks : password
Sisestame :<br>
 
Kasutajanimeks : <font size=5><b>admin</b></font><br>
== Keerukuse tese valimine ==
Salasõnaks : <font size=5><b>password</b></font><br>
</p>


Õnnestunud sisselogimise puhul valime menüüst "DVWA Security" selleks et seadistada vajaliku turvaaukude koguse ja kerukuse.
== Keerukus taseme valimine ==
 
<p>
Näiteks "low" ning vajutame "Submit" nende seadistuste rakendamikesk.
Õnnestunud sisselogimise puhul valime menüüst <font size=4><i>"DVWA Security"</i></font>, selleks et seadistada vajaliku turvaaukude koguse ja kerukuse.</p>
 
<p>
 
Näiteks <font size=4><i>"low"</i></font> ning vajutame <font size=4><i>"Submit"</i></font> nende seadistuste rakendamikesk.
[[File:Joonis4.png |400px|thumb|right|]]
</p>


Kõik! Rakendus on valmis kasutamiseks.
<p><font size=4><b><i>Kõik! Rakendus on valmis kasutamiseks.</i></b></font></p>


Dmitri Šlõkov AK31
== Kasutatud allikad==
<ol>
<li>http://code.google.com/p/dvwa/wiki/README</li>
<li>http://meta.wikimedia.org/wiki/Help:HTML_in_wikitext</li>
</ol>
[[Category:IT infrastruktuuri teenused]]

Latest revision as of 10:26, 6 April 2015

Autor

Dmitri Šlõkov AK31
Esimene versioon 05/05/2012
Viimati muudetud 06/04/2015 Mernits 'i poolt.
Timestamp (20150406102617)

Sissejuhatus

Damn Vulnerable Web App (DVWA)on PHP/MySQL veebirakendus mis on turvaauke täis. Selle peamisteks eesmärkideks on olla abiks julgeoleku spetsialistidele oma oskuste ja vahendite testimiseks, ning arendajatele näidiseks kuidas ei tohi oma rakendusi programmeerida.

Eeldused

Eelduseks on arvutisse eelpaigaldatud Apache, MySQL andmebaasimootor koos teadaoleva kasutajanimega ja salasõnaga ning PHP tugi, ning Unzip arhiivi lahti pakimiseks.

sudo apt-get install apache2 libapache2-mod-php5 php5-mysql mysql-server unzip -y

Ning tuleb end logida juurkasutajaks

sudo -i

Allalaadimine ja lahtipakkimine

Allalaadimiseks tuleb kasutada käsureas "wget" rakendust ja kui kasutate graafilise keskkonnaga süsteemi siis veebilehitseja.

wget https://codeload.github.com/RandomStorm/DVWA/zip/v1.0.8 -O DVWA-1.0.8.zip

Kui Unzip'i ei ole siis tuleb see paigaldata käsuga:

   apt-get install unzip 

Pakime lahti arhiivi sisu kasutades käsu:

   unzip DVWA-1.0.8.zip

Lahtipakitud failid tuleb liigutada Veebiserveri juurkausta :

   mv DVWA-1.0.8 /var/www/dvwa

Muutke kasutaja ja grupp selliselt, et veebiserveril oleks õigus dvwa kausta kirjutada.

chown www-data:www-data /var/www/dvwa/ -R

Andmebaasi loomine

Teeme lahti veebilehitsejaga

http://SERVERI_IP/dvwa/index.php

Kui vajalikud moodulid on paigaldatud siis ilmub jargmine pilt (Joonis1).

Vajutame "here" linki peale.

Ette tuleb andmebaasi loomise leht, vajutame "Create / Reset Dataase".

Kui MySQL root salasõnaks on midagit muud peale tühja salasõna, siis tuleb veateade "Could not connect to the database - please chack the config file ".

Selleks tekstiredaktoriga teeme lahti konfiguratsioonifaili

nano /var/www/dvwa/config/config.inc.php

Seal tuleb ülevaadata MySQL kasutajanimi ja salasõna:

$_DVWA[ 'db_user' ] = 'root';

$_DVWA[ 'db_password' ] = 'TEIE SALASÕNA';

$_DVWA[ 'db_database' ] = 'dvwa';

Salvestamiseks CTRL + X

Kui see tegevus tehtud vajutame uuesti "Create / Reset Dataase" Kui rekvisiidid olid õigesti sisestatud, siis ilmub järgmine pilt. Kus räägitakse millised tehingud olid teostatud.


Valime vasakpoolsest menüüst "Home"

Sisselogimine

Sisestame :
Kasutajanimeks : admin
Salasõnaks : password

Keerukus taseme valimine

Õnnestunud sisselogimise puhul valime menüüst "DVWA Security", selleks et seadistada vajaliku turvaaukude koguse ja kerukuse.

Näiteks "low" ning vajutame "Submit" nende seadistuste rakendamikesk.

Kõik! Rakendus on valmis kasutamiseks.

Kasutatud allikad

  1. http://code.google.com/p/dvwa/wiki/README
  2. http://meta.wikimedia.org/wiki/Help:HTML_in_wikitext