DVWA: Difference between revisions
(17 intermediate revisions by 3 users not shown) | |||
Line 9: | Line 9: | ||
==Sissejuhatus== | ==Sissejuhatus== | ||
Damn Vulnerable Web App (DVWA)on PHP/MySQL veebirakendus mis on | Damn Vulnerable Web App (DVWA)on PHP/MySQL veebirakendus mis on turvaauke täis. Selle peamisteks eesmärkideks on olla abiks julgeoleku spetsialistidele oma oskuste ja vahendite testimiseks, ning arendajatele näidiseks kuidas ei tohi oma rakendusi programmeerida. | ||
[[File:Joonis1.png |400px|thumb|right|]] | [[File:Joonis1.png |400px|thumb|right|]] | ||
Line 16: | Line 16: | ||
Eelduseks on arvutisse eelpaigaldatud <B>Apache</B>, <B>MySQL</B> andmebaasimootor koos teadaoleva kasutajanimega ja salasõnaga ning <B>PHP</B> tugi, ning <B>Unzip</B> arhiivi lahti pakimiseks. | Eelduseks on arvutisse eelpaigaldatud <B>Apache</B>, <B>MySQL</B> andmebaasimootor koos teadaoleva kasutajanimega ja salasõnaga ning <B>PHP</B> tugi, ning <B>Unzip</B> arhiivi lahti pakimiseks. | ||
<pre> | |||
sudo apt-get install apache2 libapache2-mod-php5 php5-mysql mysql-server unzip -y | |||
</pre> | |||
Ning tuleb end logida juurkasutajaks | Ning tuleb end logida juurkasutajaks | ||
Line 28: | Line 32: | ||
<p>Allalaadimiseks tuleb kasutada käsureas <font size=4><i>"wget"</i></font> rakendust ja kui kasutate graafilise keskkonnaga süsteemi siis veebilehitseja.</p> | <p>Allalaadimiseks tuleb kasutada käsureas <font size=4><i>"wget"</i></font> rakendust ja kui kasutate graafilise keskkonnaga süsteemi siis veebilehitseja.</p> | ||
<pre> | <pre> | ||
wget https://codeload.github.com/RandomStorm/DVWA/zip/v1.0.8 -O DVWA-1.0.8.zip | |||
</pre> | </pre> | ||
<p>Kui <font size=4><i>Unzip</i>'i</font> ei ole siis tuleb see paigaldata käsuga:</p> | <p>Kui <font size=4><i>Unzip</i>'i</font> ei ole siis tuleb see paigaldata käsuga:</p> | ||
Line 36: | Line 40: | ||
<p>Pakime lahti arhiivi sisu kasutades käsu:</p> | <p>Pakime lahti arhiivi sisu kasutades käsu:</p> | ||
<pre> | <pre> | ||
unzip DVWA-1.0. | unzip DVWA-1.0.8.zip | ||
</pre> | </pre> | ||
<p>Lahtipakitud failid tuleb liigutada Veebiserveri juurkausta :</p> | <p>Lahtipakitud failid tuleb liigutada Veebiserveri juurkausta :</p> | ||
<pre> | <pre> | ||
mv | mv DVWA-1.0.8 /var/www/dvwa | ||
</pre> | </pre> | ||
<p> | |||
Muutke kasutaja ja grupp selliselt, et veebiserveril oleks õigus dvwa kausta kirjutada.</p> | |||
<pre> | |||
chown www-data:www-data /var/www/dvwa/ -R | |||
</pre> | |||
== Andmebaasi loomine == | == Andmebaasi loomine == | ||
<p>Teeme lahti veebilehitsejaga</p> | <p>Teeme lahti veebilehitsejaga</p> | ||
http:// | http://SERVERI_IP/dvwa/index.php | ||
<p>Kui vajalikud moodulid on paigaldatud siis ilmub jargmine pilt (Joonis1).</p> | <p>Kui vajalikud moodulid on paigaldatud siis ilmub jargmine pilt (Joonis1).</p> | ||
<p>Vajutame <font size=4><i>"here"</i></font> linki peale. </p> | <p>Vajutame <font size=4><i>"here"</i></font> linki peale. </p> |
Latest revision as of 10:26, 6 April 2015
Autor
Dmitri Šlõkov AK31
Esimene versioon 05/05/2012
Viimati muudetud 06/04/2015 Mernits 'i poolt.
Timestamp (20150406102617)
Sissejuhatus
Damn Vulnerable Web App (DVWA)on PHP/MySQL veebirakendus mis on turvaauke täis. Selle peamisteks eesmärkideks on olla abiks julgeoleku spetsialistidele oma oskuste ja vahendite testimiseks, ning arendajatele näidiseks kuidas ei tohi oma rakendusi programmeerida.
Eeldused
Eelduseks on arvutisse eelpaigaldatud Apache, MySQL andmebaasimootor koos teadaoleva kasutajanimega ja salasõnaga ning PHP tugi, ning Unzip arhiivi lahti pakimiseks.
sudo apt-get install apache2 libapache2-mod-php5 php5-mysql mysql-server unzip -y
Ning tuleb end logida juurkasutajaks
sudo -i
Allalaadimine ja lahtipakkimine
Allalaadimiseks tuleb kasutada käsureas "wget" rakendust ja kui kasutate graafilise keskkonnaga süsteemi siis veebilehitseja.
wget https://codeload.github.com/RandomStorm/DVWA/zip/v1.0.8 -O DVWA-1.0.8.zip
Kui Unzip'i ei ole siis tuleb see paigaldata käsuga:
apt-get install unzip
Pakime lahti arhiivi sisu kasutades käsu:
unzip DVWA-1.0.8.zip
Lahtipakitud failid tuleb liigutada Veebiserveri juurkausta :
mv DVWA-1.0.8 /var/www/dvwa
Muutke kasutaja ja grupp selliselt, et veebiserveril oleks õigus dvwa kausta kirjutada.
chown www-data:www-data /var/www/dvwa/ -R
Andmebaasi loomine
Teeme lahti veebilehitsejaga
http://SERVERI_IP/dvwa/index.php
Kui vajalikud moodulid on paigaldatud siis ilmub jargmine pilt (Joonis1).
Vajutame "here" linki peale.
Ette tuleb andmebaasi loomise leht, vajutame "Create / Reset Dataase".
Kui MySQL root salasõnaks on midagit muud peale tühja salasõna, siis tuleb veateade "Could not connect to the database - please chack the config file ".
Selleks tekstiredaktoriga teeme lahti konfiguratsioonifaili
nano /var/www/dvwa/config/config.inc.php
Seal tuleb ülevaadata MySQL kasutajanimi ja salasõna:
$_DVWA[ 'db_user' ] = 'root'; $_DVWA[ 'db_password' ] = 'TEIE SALASÕNA'; $_DVWA[ 'db_database' ] = 'dvwa'; Salvestamiseks CTRL + X
Kui see tegevus tehtud vajutame uuesti "Create / Reset Dataase" Kui rekvisiidid olid õigesti sisestatud, siis ilmub järgmine pilt. Kus räägitakse millised tehingud olid teostatud.
Valime vasakpoolsest menüüst "Home"
Sisselogimine
Sisestame :
Kasutajanimeks : admin
Salasõnaks : password
Keerukus taseme valimine
Õnnestunud sisselogimise puhul valime menüüst "DVWA Security", selleks et seadistada vajaliku turvaaukude koguse ja kerukuse.
Näiteks "low" ning vajutame "Submit" nende seadistuste rakendamikesk.
Kõik! Rakendus on valmis kasutamiseks.