Overview
Damn Vulnerable Web Application (DVWA) là một ứng dụng mã nguồn PHP/MySQL tập hợp sẵn các lỗi logic về bảo mật ứng dụng web trong mã nguồn PHP. Lỗi logic khi lập trình có thể áp dụng đối với các loại ngôn ngữ lập trình nhằm giảm thiểu khả năng tạo ra lổ hổng bảo mật từ tư duy lập trình chưa cẩn thận. Mục tiêu chính của DVWA đó là tạo ra một môi trường thực hành hacking/pentest hợp pháp. Giúp cho các nhà phát triển ứng dụng web hiểu hơn về hoạt động lập trình an toàn và bảo mật hơn. Bên cạnh đó DVWA cũng cung cấp cho các thầy cô/học sinh phương pháp học và thực hành tấn công khai thác lỗi bảo mật ứng dụng web ở mức cơ bản và nâng cao.
Hướng dẫn cài đặt
- Cài đặt 1 máy chủ Ubuntu Linux 18.04 có giao diện desktop
- Cài đặt mysql server -> Mở terminal và sử dụng câu lệnh sudo apt install mysql-server -> Chờ đợi quá trình cài đặt mysql server được hoàn thành (nhấn y khi được hỏi)
- Cài đặt apache2 -> Sử dụng câu lệnh apt install apache2 -> Chờ đợi quá trình cài đặt apache2 được hoàn thành (nhấn y khi được hỏi)
- Mở firefox và search DVWA -> Mở trang web https://dvwa.co.uk -> Chọn SOURCE CONTROL
- Nhấn Code -> Chọn icon Copy link
- Cài đặt git bằng lệnh apt install git -y
- Chạy lệnh git clone https://github.com/digininja/DVWA.git
- Gõ câu lệnh cd /var/www/html
- Nhấn lệnh ls để kiểm tra các file có trong thư mục html
- Đổi tên thư mục DVWA thành dvwa bằng câu lệnh mv DVWA/ dvwa/
- Đổi tên thư mục index.html thành abc.html bằng câu lệnh mv index.html abc.html
- Mở trình duyệt web và thử truy cập tới địa chỉ localhost/dvwa/
- Cài đặt PHP -> Sử dụng câu lệnh apt install php (nhấn y nếu được hỏi)
- Đi đến thư mục bằng câu lệnh cd dvwa/config/
- Sử dụng câu lệnh ls để kiểm tra và đổi tên file config.inc.php.dist thành config.inc.php bằng câu lệnh mv config.inc.php.dist config.inc.php
- Mở trình duyệt web và thử truy cập vào đường dẫn localhost/dvwa/setup.php
- Cài đặt vim bằng câu lệnh apt install vim (Nhấn y nếu được hỏi)
- Đi đến đường dẫn bằng câu lệnh cd /etc/php/7.2/apache2
- Mở file php.ini và chỉnh sửa bằng câu lệnh vim php.ini
- Bấm ?allow_url -> Nhấn Enter và nhấn i để chỉnh sửa Off thành On
- Bấm escape -> Nhấn :wq để lưu lại
- Restart lại apache bằng câu lệnh systemctl restart apache2.service
- Quay lại firefox và nhấn refresh để kiểm tra trạng thái PHP function allow_url_include
- Cài đặt php7.2-gd bằng câu lệnh apt install php7.2-gd -> Restart lại apache2
- Kiểm tra trạng thái PHP module gd
- Cài đặt php7.2-mysql bằng câu lệnh apt install php7.2-mysql -> Restart lại apache2
- Kiểm tra trạng thái PHP module mysql và PHP module pdo_mysql
- Đi đến thư mục bằng câu lệnh cd /var/www/html/dvwa/config/
- Chỉnh sửa file config.inc.php bằng câu lệnh vim config.inc.php
- Bấm vào đường link của google https://www.google.com/recaptcha/admin -> Nhấn Open Link
- Đăng nhập tài khoản mail của bạn
- Bấm vào icon +
- Đặt tên cho Label
- Nhấn vào mục reCAPTCHA v3
- Đặt tên cho Domains
- Nhấn Accept the reCAPTCHA Terms of Service
- Nhấn SUBMIT
- Bấm COPY SITE KEY và paste vào mục public key
- Bấm COPY SECRET KEY và paste vào mục private key
- Nhấn escape -> Nhập :wq để lưu lại và quay lại trình duyệt web để kiểm tra
- Đi lùi lại thư mục html bàng câu lệnh cd ../..
- Nhấn ls để kiểm tra -> Thay đổi quyền của thư mục dvwa bằng câu lệnh chmod -R 777 dvwa/
- Quay lại trình duyệt và kiểm tra
- Đi đến thư mục config bằng câu lệnh cd dvwa/config/ -> Nhấn ls để kiểm tra -> Chỉnh sửa file config.inc.php
- Chỉnh mục db_user thành root
- Chỉnh mục db_password thành rỗng
- Nhấn escape -> Nhấn :wq để lưu lại
- Nhập lệnh mysql -u root
- Nhập use mysql;
- Nhập select Host, User, plugin from mysql.user;
- Nhập ALTER USER ‘root’@’localhost’ IDENTIFIED WITH mysql_native_password BY ‘’;
- Quay lại trình duyệt và bấm Create/Reset Database -> Bấm Login
- Bạn có thể truy cập thành công trang login của DVWA
- Quay lại terminal và bấm use dvwa;
- Nhấn exit
- Quay lại trình duyệt và đăng nhập với username: admin, password: password
- Bạn đã truy cập thành công DVWA server và thực hiện các bài test lỗ hổng như mong muốn
