В этой статье пойдет речь о том, как настроить Vulnerable Web Application Server в системе Windows на Xampp. В частности, говорится о самых популярных веб-приложениях (DVWA, bwapp, SQLI, Mutillidae).
Web Application
Web Application (веб-приложение) – это ПО, которое использует веб-браузеры и веб-технологии для выполнения задач посредством Интернета. Веб-приложения могут быть созданы для широкого использования, что включает в себя применение их малыми и крупными предприятиями по всему миру. Некоторые из утилит дают возможность завести веб-почту.
Установка сервера Xampp
XAMPP для Apache + MariaDB + PHP + Perl
XAMPP – это кроссплатформенное Open Source решение для веб-серверов, разработанное Apache Friends. Оно включает в себя, в основном, HTTP-сервера Apache, базы данных MariaDB и интерпретаторы сценариев, написанные на языках программирования PHP и Perl. Поскольку большинство реальных развертываний веб-серверов используют те же компоненты, что и XAMPP, это делает возможным переход с локального тестового сервера на «живой» сервер.
Скачать сервер можно, перейдя по ссылке.
После завершения установки нужно запустить службы Mysql и Apache на сервере Xampp.
DVWA
DVWA – это веб-приложение, которое очень чувствительно к PHP / MySQL. Основные его цели состоят в том, чтобы предоставить специалистам по безопасности помощь в тестировании их навыков и ресурсов в правовой среде, дать возможность веб-разработчикам лучше понять процессы защиты веб-приложений и помочь преподавателям и студентам познакомиться с веб-защитой на занятиях в университете.
Скачать его можно, перейдя по ссылке.
После того, как DVWA будет полностью установлен, следует ориентироваться на C:/Xampp/htdocs/dvwa/config.inc.php.dist для изменения имени пользователя и пароля для базы данных.
Надо открыть файл конфигурации, чтобы задать имя пользователя и пароль.
Здесь можно заметить, что имя пользователя, по умолчанию, – root, а пароль – password. Он будет изменен.
Теперь человек установил “пустой” пароль для пользователя “root”. Нужно сохранить эти настройки и закрыть окно.
Далее необходимо переименовать файл в «config.inc.php» после внесения вышеуказанных изменений и сохранить его.
Пользователь открывает приложение DVWA в его localhost, чтобы создать базу данных.
http://localhost/dvwa/setup.php
Он нажимает: «Создать базу данных».
Теперь он нажмет на кнопку «Войти» и закончит установку и настройку.
Для входа в систему будет использовано имя пользователя DVWA (admin) и пароль по умолчанию.
Bwapp
Пользователь устанавливает новое приложение – BWAPP.
BWAPP – это ненадежное Open Source веб-приложение или веб-баггипрограмма. Она помогает энтузиастам безопасности, дизайнерам и студентам обнаружить веб-ошибки и избавиться от них. BWAPP подходит для пентестинга и работы в области кибернетики.
Скачать программу можно, перейдя по ссылке.
Следует перейти в папку C:/Xampp/htdoc/bwapp/admin, чтобы изменить имя пользователя и пароль по умолчанию для базы данных.
Теперь можно увидеть, что имя пользователя по умолчанию – root, а пароль – bug. Он будет изменен.
Имя пользователя – root, пароль – “пустой”. Теперь надо сохранить настройки и выйти.
Пользователь откроет bwapp/install.php в localhost и нажмет на кнопку “here”, чтобы завершить установку.
Установка выполнена.
Когда пользователь войдет в систему как bee: bug; он получит возможность для проверки своих навыков пентестинга.
Здесь человек может нажать на ошибки, и ему будут показаны все проблемы, которые есть в веб-приложении bwapp.
SQLI
SQLi – это средство, которое обеспечивает надежную среду тестирования для тех, кто участвует в приобретении и совершенствовании SQL-инъекций. Во-первых, нужно загрузить SQLI с GitHub.
Далее следует перейти в C:/htdocs/sqlilabs/sqli-connections для редактирования setup-db.php.
Пользователь установит “пустой” пароль, сохранит изменения и выйдет.
Это веб-приложение доступно по следующему пути: localhost/sqli. Требуется нажать на кнопку «Setup / Reset Databases for labs».
Теперь лаборатория sqli готова к использованию. В браузере пользователя откроется страница, которая указывает на то, что он может получить доступ к различным видам задач Sqli.
Был открыт урок номер 1. Пользователь успешно установил Sqli для выполнения практических заданий.
Mutillidae
OWASP Mutillidae – это веб-приложение с открытым исходным кодом, которое намеренно уязвимо и активно нацелено на изучение веб-безопасности. Эта lab для тех, кто занимается разработкой SQL-инъекций, что предлагает полную тестовую среду. Данный фреймворк для взлома прост в использовании и предназначен для любителей безопасности, CTFs и оценок уязвимости.
Во-первых, пользователь будет ориентироваться на C:/Xampp/htdocs/mutillidae/includes и редактирование database-config.php, как показано ниже.
Здесь видно, что пароль mutillidae был заменен на «пустой».
Новый пароль сохранен, можно выходить из системы.
Теперь пользователь видит страницу, где ему нужно нажать на кнопку «Оpt Оut».
Он откроет локальный браузер по следующему URL: localhost/mutillidae, где найдет опцию сброса базы данных. Таким образом, пользователь может настроить уязвимую lab для пентестинга веб-приложений.
Человек перенаправлен на страницу, которая попросит его нажать на кнопку «ОК», чтобы продолжить. Таким образом, он закончит настраивать Mutillidae.
Все приложения были успешно установлены в XAMPP на Windows.
Автор переведенной статьи: Geet Madan.
Важно! Информация исключительно в учебных целях. Пожалуйста, соблюдайте законодательство и не применяйте данную информацию в незаконных целях.