Tweet
Damn Vulnerable Web App se présente sous la forme d’un site WEB vulnérables à exploiter et à attaquer.
On y recense différentes failles (Brute force, CSRF, Injection SQL, XSS, LFI etc..) avec différents niveau de difficultés (Facile – Médium – Difficile). Idéal pour débuter et s’entrainer.
D.V.W.A se présente également sous la forme d’un ISO (480MB) disponible ICI.
L'installation de cette application web n'est pas très compliquée, il suffit de disposer d'une connexion internet (waouh
) et d'un environnement PHP/MySQL (LAMP utilité ici).Installation
Pré-recquis :
Code:
apt-get install apache2 php5 mysql-server libapache2-mod-php5 php5-mysql
Téléchargement :
Code:
cd /var/www/html/ && wget https://github.com/ethicalhack3r/DVWA/archive/v1.9.zip
On dézippe et on renomme :
Code:
unzip v1.* rm –Rf v1.* mv DVWA* DVWA chown –Rf www-data:www-data dvwa
Création de la base de données dvwa
Code:
mysql –u UtilisateurRoot –pMonMotDePasse –e "CREATE DATABASE dvwa ;"
Configuration pour l'accès à la base de données
Code:
nano /var/www/html/DVWA/config/config.inc.php
- Les lignes 14 à 18 sont à modifiées pour adapter les différents champs db_ selon sa propre configuration (mot de passe de l'utilisateur root, IP de la base de données...).
- On se rend ensuite sur l'URL suivant pour créer la base de données(http://IpDuServeur/DVWA/setup.php) et on sélectionne « Create/Reset Database ».
- On peut choisir le niveau de sécurité dans l’onglet « DVWA Security ».
- On peut accéder au reset de la base de données sans avoir à s’authentifier.
- Pour s’authentifier, il faut se rendre sur la page login.php avec le couple d’identifiants suivants : admin/password
Là où D.V.W.A est intéressant, c'est par rapport aux différents niveaux de difficultés et à ses nombreux "challenges", et je redirige donc vers le très bon blog d'information-security avec notamment quelques billets sur cette plate-forme (solutions, explications, moyen de défense...) avec une analyse simple et efficace :
Brute Force et Command Execution
CRSF et File Inclusion
Injection SQL
File Upload et XSS
D'autres docs en ligne :
http://www.lafermeduweb.net/billet/d...ment-1093.html
https://pentestlab.wordpress.com/tag/dvwa-walkthrough/
https://pentestlab.wordpress.com/201...oitation-dvwa/
http://www.fuzzysecurity.com/tutorials/4.html
Et dans le même genre, OWASP WebGoat
Sources : Mon wiki personnel, http://www.dvwa.co.uk/, https://www.information-security.fr/...s-protections/, https://github.com/ethicalhack3r/DVWA
Commentaire