DVWA是用PHP+MySQL编写的一套用于常规Web漏洞教学和检测的Web脆弱性测试程序,包含了SQL注入、XSS、盲注等常见的一些安全漏洞,是一个非常好的网络安全实验平台。
安装使用DVWA需要有Apache+PHP+MySQL的Web环境,这里推荐然使用AppServ。AppServ集成了Apache+PHP+MySQL,官网:http://www.appservnetwork.com,建议下载2.5.10版本。
软件安装完成后,在浏览器地址栏中输入http://127.0.0.1,可以打开如下的测试页面,证明软件安装成功。
在软件的安装目录下有一个名为www的目录,这就是网站的主目录了。在主目录中有一个PHP环境测试文件phpinfo.php,可以在浏览器中输入http://127.0.0.1/phpinfo.php访问该页面进行测试。
接下来将DVWA解压并放到AppServ的www目录下,我这里的物理路径为D:\AppServ\www\dvwa。然后在浏览器地址栏中输入http://127.0.0.1/dvwa便可以访问DVWA了。
首次使用需要先安装数据库。
在安装数据库时会报错,提示“Could not connect to the database”,这是由于DVWA不知道连接MySQL数据库的root用户密码,因而只要将我们之前在安装AppServ时设置的数据库root用户密码告诉DVWA就可以了。打开D:\AppServ\www\dvwa\config\config.inc.php文件,在其中进行设置。
数据库安装完成之后,再次访问DVWA,就会出现登录界面。DVWA默认的用户名是admin,密码是password。
进入之后,可以在DVWA Security中设置安全级别,分为low、medium、high三个级别。每个级别分别对应了不同的攻击难度,作为初学者,我们先将安全级别设置为low。