Annonce

Rduire
Aucune annonce.

Dbuter en pentesting WEB - Installation de la plate-forme D.V.W.A

Rduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Dbuter en pentesting WEB - Installation de la plate-forme D.V.W.A



    Damn Vulnerable Web App se prsente sous la forme dun site WEB vulnrables exploiter et attaquer.

    On y recense diffrentes failles (Brute force, CSRF, Injection SQL, XSS, LFI etc..) avec diffrents niveau de difficults (Facile Mdium Difficile). Idal pour dbuter et sentrainer.

    D.V.W.A se prsente galement sous la forme dun ISO (480MB) disponible ICI.

    L'installation de cette application web n'est pas trs complique, il suffit de disposer d'une connexion internet (waouh ) et d'un environnement PHP/MySQL (LAMP utilit ici).



    Installation


    Pr-recquis :



    Code:
    apt-get install apache2 php5 mysql-server libapache2-mod-php5 php5-mysql

    Tlchargement :




    On dzippe et on renomme :



    Code:
    unzip v1.*
    rm Rf v1.* 
    mv DVWA* DVWA 
    chown Rf www-data:www-data dvwa

    Cration de la base de donnes dvwa



    Code:
    mysql u UtilisateurRoot pMonMotDePasse e "CREATE DATABASE dvwa ;"

    Configuration pour l'accs la base de donnes



    Code:
    nano /var/www/html/DVWA/config/config.inc.php

    - Les lignes 14 18 sont modifies pour adapter les diffrents champs db_ selon sa propre configuration (mot de passe de l'utilisateur root, IP de la base de donnes...).

    - On se rend ensuite sur l'URL suivant pour crer la base de donnes(http://IpDuServeur/DVWA/setup.php) et on slectionne Create/Reset Database .






    - On peut choisir le niveau de scurit dans longlet DVWA Security .

    - On peut accder au reset de la base de donnes sans avoir sauthentifier.

    - Pour sauthentifier, il faut se rendre sur la page login.php avec le couple didentifiants suivants : admin/password











    L o D.V.W.A est intressant, c'est par rapport aux diffrents niveaux de difficults et ses nombreux "challenges", et je redirige donc vers le trs bon blog d'information-security avec notamment quelques billets sur cette plate-forme (solutions, explications, moyen de dfense...) avec une analyse simple et efficace :


    Brute Force et Command Execution
    CRSF et File Inclusion
    Injection SQL
    File Upload et XSS

    D'autres docs en ligne :

    http://www.lafermeduweb.net/billet/d...ment-1093.html
    https://pentestlab.wordpress.com/tag/dvwa-walkthrough/
    https://pentestlab.wordpress.com/201...oitation-dvwa/
    http://www.fuzzysecurity.com/tutorials/4.html


    Et dans le mme genre, OWASP WebGoat










    Sources : Mon wiki personnel, http://www.dvwa.co.uk/, https://www.information-security.fr/...s-protections/, https://github.com/ethicalhack3r/DVWA
    Dernire modification par Anonyme77, 26 aot 2016, 19h12.

  • #2
    Merci beaucoup pour ton tutoriel.
    Il est trs bien !

    Juste une remarque en passant : DVWA est ddi aux vulnrabilits web.
    Ce n'est qu'une toute petite partie de ce que le pentest reprsente dans son intgralit.

    Commentaire


    • #3
      Bizarre que a ne soit pas si connu que a, ou alors c'est moi qui suit pass ct.

      Commentaire


      • #4
        Je dirais que c'est quand mme un classique, lui ainsi que WebGoat sont assez connus.
        Peut tre tes prigrinations ne t'ont elles simplement pas encore conduit l

        Commentaire


        • #5
          Oui c'est un classique et dire que c'est bizarre que a ne soit pas si connu que a, montre que tu ne fais pas vraiment les bonnes recherches pour apprendre le hacking... arrt les vidos de 1337haxxxordu93 sur YouTube, d'ailleurs je dconseille entirement YouTube pour apprendre.
          il y a en plus des deux cits bWAPP

          Commentaire

          Chargement...
          X