dvwa靶场127.0.0.1

### DVWA靶场配置与使用 DVWA（Damn Vulnerable Web Application）是一个用于安全脆弱性鉴定的PHP/MySQL Web应用，旨在为安全专业人员测试自己的专业技能和工具提供合法的环境[^1]。以下是配置DVWA靶场的具体步骤： #### 1. 克隆DVWA项目 首先需要克隆DVWA项目的代码库到本地： ```bash git clone https://github.com/digininja/DVWA.git ``` #### 2. 移动项目到Web服务器目录 将克隆下来的DVWA项目移动到Apache默认的Web根目录下： ```bash mv DVWA /var/www/html/ ``` #### 3. 启动Apache服务 启动Apache服务并确认其状态是否正常： ```bash service apache2 start service apache2 status ``` #### 4. 启动MariaDB服务 启动MariaDB数据库服务并确认其状态是否正常： ```bash service mariadb start service mariadb status ``` #### 5. 创建数据库及用户 登录到MariaDB数据库中，并创建一个名为`dvwa`的数据库以及相应的用户： ```bash mysql create database dvwa; create user dvwa@localhost identified by 'p@ssw0rd'; grant all on dvwa.* to dvwa@localhost; flush privileges; exit; ``` #### 6. 配置DVWA 进入DVWA文件夹并重命名配置文件： ```bash cd /var/www/html/DVWA/config/ cp config.inc.php.dist config.inc.php ``` 编辑`config.inc.php`文件，确保数据库连接信息正确： ```php <?php $_DVWA = array(); $_DVWA['db_server'] = '127.0.0.1'; $_DVWA['db_database'] = 'dvwa'; $_DVWA['db_user'] = 'dvwa'; $_DVWA['db_password'] = 'p@ssw0rd'; ?> ``` #### 7. 初始化DVWA 访问以下URL以初始化DVWA靶场环境： ```plaintext http://127.0.0.1/DVWA/setup.php ``` 在页面上点击“Create/Reset Database”按钮完成初始化。 #### 8. 登录DVWA 使用默认用户名和密码登录DVWA靶场： - 用户名：`admin` - 密码：`password` 访问地址： ```plaintext http://127.0.0.1/DVWA/login.php ``` #### 9. 使用DVWA 登录后即可看到DVWA靶场的主界面，选择不同的模块进行安全测试。例如，可以尝试CSRF漏洞测试： ```plaintext http://127.0.0.1/dvwa/vulnerabilities/csrf/ ``` 如果需要修改密码，可以通过抓包工具拦截请求并分析参数[^3]。 #### 安全增强功能 DVWA的高级版本可能包含一些增强的安全机制，例如： - **Token机制**：防止CSRF攻击。 - **stripslashes函数**：去除转义字符。 - **mysql_real_escape_string函数**：对输入参数进行过滤[^4]。 --- ### 注意事项 - 确保防火墙规则允许HTTP流量通过。 - 如果使用的是虚拟机，请确保网络设置为桥接模式或NAT模式，以便外部设备能够访问靶场环境。