0

Pentesting WEB – Installation de la plate-forme D.V.W.A

 

Damn Vulnerable Web App se présente sous la forme d’un site WEB vulnérables à exploiter et à attaquer.

On y recense différentes failles (Brute force, CSRF, Injection SQL, XSS, LFI etc..) avec différents niveau de difficultés (Facile – Médium – Difficile). Idéal pour débuter et s’entrainer. D.V.W.A se présente également sous la forme d’un ISO (480MB) disponible ICI.

L’installation de cette application web n’est pas très compliquée, il suffit de disposer d’une connexion internet (waouh ) et d’un environnement PHP/MySQL (LAMP utilisé ici).

Installation

Pré-recquis

$ apt update && apt install apache2 php5 mysql-server libapache2-mod-php5 php5-mysql

Téléchargement

$ cd /var/www/html/ && wget https://github.com/ethicalhack3r/DVWA/archive/v1.9.zip

Mise en place

On dézippe et on renomme l’archive précédemment récupérée

$ unzip v1.* && rm –Rf v1.*
$ mv DVWA* DVWA && chown –Rf www-data:www-data dvwa

Base de données

On crée ensuite la base de données

$ mysql –u UtilisateurRoot –pMonMotDePasse –e "CREATE DATABASE dvwa ;"

On configure ensuite l’accès à la base de données

$ nano /var/www/html/DVWA/config/config.inc.php

Les lignes 14 à 18 sont à modifiées pour adapter les différents champs db_ selon sa propre configuration (mot de passe de l’utilisateur root, IP de la base de données…).

On se rend ensuite sur l’URL suivant pour créer la base de données (http://IpDuServeur/DVWA/setup.php) et on sélectionne « Create/Reset Database ».

 

On peut choisir le niveau de sécurité dans l’onglet « DVWA Security ».

On peut accéder au reset de la base de données sans avoir à s’authentifier.

Pour s’authentifier, il faut se rendre sur la page login.php avec le couple d’identifiants suivants : admin/password

 

Pourquoi D.V.W.A ?

Là où D.V.W.A est intéressant, c’est par rapport aux différents niveaux de difficultés et à ses nombreux “challenges”, et je redirige donc vers le très bon blog d’information-security avec notamment quelques billets sur cette plate-forme (solutions, explications, moyen de défense…) avec une analyse simple et efficace :

Brute Force et Command Execution
CRSF et File Inclusion
Injection SQL
File Upload et XSS

 

D’autres documentations en ligne sont également possible, pour une utilisation correcte et intuitive de D.V.W.A

http://www.lafermeduweb.net/billet/d…ment-1093.html
https://pentestlab.wordpress.com/tag/dvwa-walkthrough/
https://pentestlab.wordpress.com/201…oitation-dvwa/
http://www.fuzzysecurity.com/tutorials/4.html

 

Dans le même genre, on retrouve un projet de l’OWASP (Kézako ?), WebGoat.

Tutoriel également disponible sur le site Hackadémics.

Supras

Supras

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *