Sec24 – Penetrationstest – DVWA – XAMPP Localhost

Av: Oscar Andersson, Sec24, 2012-12-21

OBS:  Följande guider är enbart för utbildningssyfte och får absolut inte användas för olagliga ändamål.

För de webbaserade hacken krävs enbart DVWA men när vi går in på annat krävs Metasploitable. DVWA, Damn Vulnerable Web Application, är en webbapplikation som är skapad för att du ska kunna testa de vanligaste säkerhetsbristerna såsom att Brute Forca användarnamn och lösenord, Cross-site scripting (XSS), SQL Injection (SQLI), Blind SQL Injection, Command Execution och Cross Site Request Forgery (CSRF). Metasploitable är en virtual machine som redan har DVWA installerat och en massa säkerhetshål därtill men den här guiden går igenom hur du sätter upp DVWA  på ditt nuvarande operativsystem och för att sedan säkerhetstesta mot localhost.  OBS! Installera inte detta på din vanliga webbserver då hemsidan kommer ha flera sårbarheter!

Det är rekommenderat att du använder en Virtual Machine eller en annan dator som testmiljö. Vill du trots allt köra mot localhost börjar du med att ladda ner XAMPP  (Laddas ner härifrån). X:et i XAMPP står för Cross-platform och innebär att programmet fungerar på flera plattformar. Såsom Linux, Windows, Solaris och Mac OS X. De andra bokstäverna står för Apache, MySQL, PHP och Perl.

Du väljer distributionen som passar ditt operativsystem och installerar programmet på din dator. Efter det laddar du ner DVWA och packar upp filerna i din public_html mapp. Väljer du att installera i Windowsmiljö, direkt på C:, är det följande katalog som gäller: C:\xampp\htdocs\. För att ansluta till hemsidan skriver du sedan in “http://127.0.0.1/dvwa/” som URL i din webbläsare, Firefox rekommenderas.)

DVWA XAMPP Localhost