DVWA: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Dslokov (talk | contribs)
Mernits (talk | contribs)
 
(17 intermediate revisions by 3 users not shown)
Line 9: Line 9:


==Sissejuhatus==
==Sissejuhatus==
Damn Vulnerable Web App (DVWA)on PHP/MySQL veebirakendus mis on turvaauge täis. Selle peamisteks eesmärkideks on olla abiks julgeoleku spetsialistidele oma oskuste ja vahendite testimiseks, ning arendajatele näidiseks kuidas ei tohi oma rakendusi programmeerida.
Damn Vulnerable Web App (DVWA)on PHP/MySQL veebirakendus mis on turvaauke täis. Selle peamisteks eesmärkideks on olla abiks julgeoleku spetsialistidele oma oskuste ja vahendite testimiseks, ning arendajatele näidiseks kuidas ei tohi oma rakendusi programmeerida.


[[File:Joonis1.png |400px|thumb|right|]]
[[File:Joonis1.png |400px|thumb|right|]]
Line 16: Line 16:


Eelduseks on arvutisse eelpaigaldatud <B>Apache</B>, <B>MySQL</B> andmebaasimootor koos teadaoleva kasutajanimega ja salasõnaga ning <B>PHP</B> tugi, ning <B>Unzip</B> arhiivi lahti pakimiseks.
Eelduseks on arvutisse eelpaigaldatud <B>Apache</B>, <B>MySQL</B> andmebaasimootor koos teadaoleva kasutajanimega ja salasõnaga ning <B>PHP</B> tugi, ning <B>Unzip</B> arhiivi lahti pakimiseks.
<pre>
sudo apt-get install apache2 libapache2-mod-php5 php5-mysql mysql-server unzip -y
</pre>


Ning tuleb end logida juurkasutajaks
Ning tuleb end logida juurkasutajaks
Line 28: Line 32:
<p>Allalaadimiseks tuleb kasutada käsureas <font size=4><i>"wget"</i></font> rakendust ja kui kasutate graafilise keskkonnaga süsteemi siis veebilehitseja.</p>
<p>Allalaadimiseks tuleb kasutada käsureas <font size=4><i>"wget"</i></font> rakendust ja kui kasutate graafilise keskkonnaga süsteemi siis veebilehitseja.</p>
<pre>
<pre>
  wget http://dvwa.googlecode.com/files/DVWA-1.0.7.zip
wget https://codeload.github.com/RandomStorm/DVWA/zip/v1.0.8 -O DVWA-1.0.8.zip
</pre>
</pre>
<p>Kui <font size=4><i>Unzip</i>'i</font> ei ole siis tuleb see paigaldata käsuga:</p>
<p>Kui <font size=4><i>Unzip</i>'i</font> ei ole siis tuleb see paigaldata käsuga:</p>
Line 36: Line 40:
<p>Pakime lahti arhiivi sisu kasutades käsu:</p>
<p>Pakime lahti arhiivi sisu kasutades käsu:</p>
<pre>
<pre>
   unzip DVWA-1.0.7.zip
   unzip DVWA-1.0.8.zip
</pre>
</pre>
<p>Lahtipakitud failid tuleb liigutada Veebiserveri juurkausta :</p>
<p>Lahtipakitud failid tuleb liigutada Veebiserveri juurkausta :</p>
<pre>
<pre>
   mv dvwa /var/www
   mv DVWA-1.0.8 /var/www/dvwa
</pre>
</pre>


== Alternatiiv paigaldamine kasutades Subversion(SVN) ==
<p>
Eeldused: Paigaldatud <font size=4><b><i>Subversion</i></b></font>. Mida saab teha käsuga <br>
Muutke kasutaja ja grupp selliselt, et veebiserveril oleks õigus dvwa kausta kirjutada.</p>
sudo apt-get install subversion
<pre>
1. svn co http://dvwa.googlecode.com/svn/trunk/
chown www-data:www-data /var/www/dvwa/ -R
2. Teeme
</pre>


== Andmebaasi loomine ==
== Andmebaasi loomine ==


<p>Teeme lahti veebilehitsejaga</p>
<p>Teeme lahti veebilehitsejaga</p>
  http://127.0.0.1/dvwa/index.php
  http://SERVERI_IP/dvwa/index.php
<p>Kui vajalikud moodulid on paigaldatud siis ilmub jargmine pilt (Joonis1).</p>
<p>Kui vajalikud moodulid on paigaldatud siis ilmub jargmine pilt (Joonis1).</p>
<p>Vajutame <font size=4><i>"here"</i></font> linki peale. </p>
<p>Vajutame <font size=4><i>"here"</i></font> linki peale. </p>

Latest revision as of 10:26, 6 April 2015

Autor

Dmitri Šlõkov AK31
Esimene versioon 05/05/2012
Viimati muudetud 06/04/2015 Mernits 'i poolt.
Timestamp (20150406102617)

Sissejuhatus

Damn Vulnerable Web App (DVWA)on PHP/MySQL veebirakendus mis on turvaauke täis. Selle peamisteks eesmärkideks on olla abiks julgeoleku spetsialistidele oma oskuste ja vahendite testimiseks, ning arendajatele näidiseks kuidas ei tohi oma rakendusi programmeerida.

Eeldused

Eelduseks on arvutisse eelpaigaldatud Apache, MySQL andmebaasimootor koos teadaoleva kasutajanimega ja salasõnaga ning PHP tugi, ning Unzip arhiivi lahti pakimiseks.

sudo apt-get install apache2 libapache2-mod-php5 php5-mysql mysql-server unzip -y

Ning tuleb end logida juurkasutajaks

sudo -i

Allalaadimine ja lahtipakkimine

Allalaadimiseks tuleb kasutada käsureas "wget" rakendust ja kui kasutate graafilise keskkonnaga süsteemi siis veebilehitseja.

wget https://codeload.github.com/RandomStorm/DVWA/zip/v1.0.8 -O DVWA-1.0.8.zip

Kui Unzip'i ei ole siis tuleb see paigaldata käsuga:

   apt-get install unzip 

Pakime lahti arhiivi sisu kasutades käsu:

   unzip DVWA-1.0.8.zip

Lahtipakitud failid tuleb liigutada Veebiserveri juurkausta :

   mv DVWA-1.0.8 /var/www/dvwa

Muutke kasutaja ja grupp selliselt, et veebiserveril oleks õigus dvwa kausta kirjutada.

chown www-data:www-data /var/www/dvwa/ -R

Andmebaasi loomine

Teeme lahti veebilehitsejaga

http://SERVERI_IP/dvwa/index.php

Kui vajalikud moodulid on paigaldatud siis ilmub jargmine pilt (Joonis1).

Vajutame "here" linki peale.

Ette tuleb andmebaasi loomise leht, vajutame "Create / Reset Dataase".

Kui MySQL root salasõnaks on midagit muud peale tühja salasõna, siis tuleb veateade "Could not connect to the database - please chack the config file ".

Selleks tekstiredaktoriga teeme lahti konfiguratsioonifaili

nano /var/www/dvwa/config/config.inc.php

Seal tuleb ülevaadata MySQL kasutajanimi ja salasõna:

$_DVWA[ 'db_user' ] = 'root';

$_DVWA[ 'db_password' ] = 'TEIE SALASÕNA';

$_DVWA[ 'db_database' ] = 'dvwa';

Salvestamiseks CTRL + X

Kui see tegevus tehtud vajutame uuesti "Create / Reset Dataase" Kui rekvisiidid olid õigesti sisestatud, siis ilmub järgmine pilt. Kus räägitakse millised tehingud olid teostatud.


Valime vasakpoolsest menüüst "Home"

Sisselogimine

Sisestame :
Kasutajanimeks : admin
Salasõnaks : password

Keerukus taseme valimine

Õnnestunud sisselogimise puhul valime menüüst "DVWA Security", selleks et seadistada vajaliku turvaaukude koguse ja kerukuse.

Näiteks "low" ning vajutame "Submit" nende seadistuste rakendamikesk.

Kõik! Rakendus on valmis kasutamiseks.

Kasutatud allikad

  1. http://code.google.com/p/dvwa/wiki/README
  2. http://meta.wikimedia.org/wiki/Help:HTML_in_wikitext