DVWA – Damn Vulnerable Web Application é uma ferramenta desenvolvida em PHP/MySQL que contém diversos tipos de vulnerabilidades Web, é uma ótima solução para praticar seus conhecimentos em Segurança de Aplicações Web.

Site : www.dvwa.co.uk

Projeto : github.com/RandomStorm/DVWA

01 - Passo

Considerando que você já tenha um servidor com Apache + PHP e MySQL rodando realize o download do DVWA direto pelo site.

Entre no diretório de publicação do apache /var/www/html e em seguida realize o clone do XVWA.

  Linux
cd /var/www/

ls -l

wget https://github.com/RandomStorm/DVWA/archive/v1.0.8.zip

02 - Passo

Através do comando ls certifique-se que o download foi realizar com sucesso em seguida descompacte o arquivo usando o comando unzip.

  Linux
unzip v1.0.8.zip

03 - Passo

O arquivo v1.0.8.zip será descompactado, em seguida execute o comando ls -l para listar o diretório descompactado.

ls -l

04 - Passo

Acesse o diretório DVWA-1.0.8 e liste os arquivos.

cd DVWA-1.0.8/

ls

05 - Passo

Acesse o diretório config e edite o arquivo confg.inc.php.

cd config

ls

vim config.inc.php

Atualize as configurações do banco de dados.

06 - Passo

Acesse o diretório do DVWA via web, e inicie o processo de instalação.

http://IP-DO-SERVIDOR/DVWA-1.0.8/

Clique no link here

07 - Passo

Clique no botão Create /Reset Database

Aguarde o processo de instalação ser realizado.

08 - Passo

Clique no link Home ou acesse o sistema novamente através do link: http://IP-DO-SERVIDOR/DVWA-1.0.8/

Username: admin
Password: password

Logado com sucesso.

09 - Passo

Uma boa prática é as vulnerabilidades que podem ser exploradas pelo SQL Inject.
Abaixo do formulário existem links que instruem como explorar esta vulnerabilidade.
No campo User ID digite o número 1 em seguida Submit (Será exibido o primeiro registro da tabela users, que corresponde ao usuário admin).

No campo User ID digite o número 2 em seguida Submit (Será exibido o segundo registro da tabela users, que corresponde ao usuário gordonb).

Observe os dados da tabela users.



  Autor

Marcos Henrique

 São Paulo/SP



  Aplicações Web

© 2021 - 100SECURITY

Contato