DVWA(やられサーバー)

DVWAは
Web アプリ監査ツールのテストに使うやられサーバーです
DVWA は
Damn Vulnerable Web Application
の略
Random Stome というオープンソースプロジェクトで作成されています
これは、複数の脆弱性をもつテストのための Web アプリです
これを動かすには
PHP と MySQL が必要です
これらの機能をもったサーバでもOKですし
XAMPPでも使えます
まずは、DVWA をダウンロードします
http://www.dvwa.co.uk/
へアクセスし
download をクリックしてダウンロードします
Screenshot-2012-05-31 21:51:07
ダウンロード完了すると
DVWA-1.0.7.zip
がダウンロードされているので
unzip DVWA-1.0.7.zip
で解凍し
ドキュメントルートへ移動します
web サーバー(ubuntu)なら
/var/www/
xampp なら
/opt/lampp/htdocs/
へ移動します
今回は
/var/www/
へ移動しました
cp -rp dvwa /var/www/
これで、ブラウザから
http://localhost/dvwa
とすると
エラーメッセージがでます
これは、データベースが作成されていないためです
Screenshot-2012-05-31 21:57:16
このため here をおして設定画面に写ります
先に、データベースのセッティングを行います
端末を開いて
vim /var/www/dvwa/config/config.inc.php
で設定ファイルを開き
18行目の
$_DVWA[ ‘db_password’ ] = ”;
に MySQL の root パスワードを入れます
$_DVWA[ ‘db_password’ ] = ‘rootパスワード‘;
というように ” の間に入力します
終わったら保存して閉じます
次に、 Create/Reset Database
をクリックして データベースを作成します
Screenshot-2012-05-31 22:00:21
これで、以下のような画面ができれば成功です
Screenshot-2012-05-31 22:08:35
ここまで完了したら、ログインしてみます
http://localhost/dvwa
へアクセスすると
ログイン画面になります
デフォルトのパスワードなどがわからなかったので
dvwa admin password
で検索しました
デフォルト設定のままなら
ユーザ名 admin
パスワード password
でログインできます
使いかたについては
Youtube が参考になります
DVWA-SQL INJECTION : LOW Level
で検索すると
http://www.youtube.com/watch?v=oMV0JZVxvdQ
にあるように、様々な事例がでます
英語の説明ですが、使いかたを見るには充分と思います