Annonce

Réduire
Aucune annonce.

Débuter en pentesting WEB - Installation de la plate-forme D.V.W.A

Réduire
X
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Débuter en pentesting WEB - Installation de la plate-forme D.V.W.A



    Damn Vulnerable Web App se présente sous la forme d’un site WEB vulnérables à exploiter et à attaquer.

    On y recense différentes failles (Brute force, CSRF, Injection SQL, XSS, LFI etc..) avec différents niveau de difficultés (Facile – Médium – Difficile). Idéal pour débuter et s’entrainer.

    D.V.W.A se présente également sous la forme d’un ISO (480MB) disponible ICI.

    L'installation de cette application web n'est pas très compliquée, il suffit de disposer d'une connexion internet (waouh ) et d'un environnement PHP/MySQL (LAMP utilité ici).



    Installation


    Pré-recquis :



    Code:
    apt-get install apache2 php5 mysql-server libapache2-mod-php5 php5-mysql

    Téléchargement :




    On dézippe et on renomme :



    Code:
    unzip v1.*
    rm –Rf v1.* 
    mv DVWA* DVWA 
    chown –Rf www-data:www-data dvwa

    Création de la base de données dvwa



    Code:
    mysql –u UtilisateurRoot –pMonMotDePasse –e "CREATE DATABASE dvwa ;"

    Configuration pour l'accès à la base de données



    Code:
    nano /var/www/html/DVWA/config/config.inc.php

    - Les lignes 14 à 18 sont à modifiées pour adapter les différents champs db_ selon sa propre configuration (mot de passe de l'utilisateur root, IP de la base de données...).

    - On se rend ensuite sur l'URL suivant pour créer la base de données(http://IpDuServeur/DVWA/setup.php) et on sélectionne « Create/Reset Database ».






    - On peut choisir le niveau de sécurité dans l’onglet « DVWA Security ».

    - On peut accéder au reset de la base de données sans avoir à s’authentifier.

    - Pour s’authentifier, il faut se rendre sur la page login.php avec le couple d’identifiants suivants : admin/password











    Là où D.V.W.A est intéressant, c'est par rapport aux différents niveaux de difficultés et à ses nombreux "challenges", et je redirige donc vers le très bon blog d'information-security avec notamment quelques billets sur cette plate-forme (solutions, explications, moyen de défense...) avec une analyse simple et efficace :


    Brute Force et Command Execution
    CRSF et File Inclusion
    Injection SQL
    File Upload et XSS

    D'autres docs en ligne :

    http://www.lafermeduweb.net/billet/d...ment-1093.html
    https://pentestlab.wordpress.com/tag/dvwa-walkthrough/
    https://pentestlab.wordpress.com/201...oitation-dvwa/
    http://www.fuzzysecurity.com/tutorials/4.html


    Et dans le même genre, OWASP WebGoat










    Sources : Mon wiki personnel, http://www.dvwa.co.uk/, https://www.information-security.fr/...s-protections/, https://github.com/ethicalhack3r/DVWA
    Dernière modification par Anonyme77, 26 août 2016, 20h12.

  • #2
    Merci beaucoup pour ton tutoriel.
    Il est très bien !

    Juste une remarque en passant : DVWA est dédié aux vulnérabilités web.
    Ce n'est qu'une toute petite partie de ce que le pentest représente dans son intégralité.

    Commentaire


    • #3
      Bizarre que ça ne soit pas si connu que ça, ou alors c'est moi qui suit passé à côté.
      PGP

      Commentaire


      • #4
        Je dirais que c'est quand même un classique, lui ainsi que WebGoat sont assez connus.
        Peut être tes périgrinations ne t'ont elles simplement pas encore conduit là

        Commentaire


        • #5
          Oui c'est un classique et dire que c'est bizarre que ça ne soit pas si connu que ça, montre que tu ne fais pas vraiment les bonnes recherches pour apprendre le hacking... arrêté les vidéos de 1337haxxxordu93 sur YouTube, d'ailleurs je déconseille entièrement YouTube pour apprendre.
          il y a en plus des deux cités bWAPP

          Commentaire

          Chargement...
          X