En esta entrada voy a hablaros sobre DVWA un framework que nos permite practicar diversos ataques a infraestructuras web (XSS, SQLi, File inclusion...), todo esto sin meternos en problemas legales.
Siendo novato en estos temas (a diferencia de mis compañeros de blog ;)) me está viniendo bastante bien para conocer los fundamentos de estos ataques de forma fácil y controlada, con lo que me dispongo a comentaros como instalar este interesante banco de pruebas de la forma más simple posible.
Nota: La instalación la he realizado en una máquina virtual con Ubuntu 10.04 y XAMPP, por tanto explicare como configurarlo sobre esta distribución.
[---] Lo primero será configurar XAMPP con la finalidad de hacer funcionar después DVWA sobre este, para ello partimos de un Ubuntu instalado (su instalación es muy simple y no entra en la finalidad de este post), así que descargamos XAMPP de su web :
http://www.apachefriends.org/download.php?xampp-linux-1.7.7.tar.gzy procedemos a la instalación como muy bien nos explican en su web:
[+] Nos autenticamos como root:
su[+] Extraemos el archivo descargado en /opt:
[+] Esto instalará un apache+php+mysql en /opt/lampp.tar xvfz xampp-linux-1.7.7.tar.gz -C /opt
[+] Para ejecutarlo basta con:
y veremos algo como esto:/opt/lampp/lampp start
Starting XAMPP for Linux 1.7.7...[+] Para finalizar este paso comprobaremos que está correctamente instalado poniendo en nuestro navegador:
XAMPP: Starting Apache with SSL (and PHP5)...
XAMPP: Starting MySQL...
XAMPP: Starting ProFTPD...
XAMPP for Linux started.
http://localhost
[---] Una vez instalada la base(XAMPP) vamos a descargar DVWA e "instalarlo", esto lo podemos hacer desde:
http://dvwa.googlecode.com/files/DVWA-1.0.7.zipy nos descargará un pequeño archivo de 1,3 Mb.
[+] Nuestro siguiente movimiento será extraerlo en /opt/lampp/htdocs:
unzip DVWA-1.0.7.zip -d /opt/lampp/htdocs/[+] Comprobamos que todo funciona bien accediendo con el navegador a:
http://localhost/dvwa
[+] En este momento veremos una pantalla de login, que tenemos que rellenar con:
Username = adminy pulsamos en "login" con lo que accederemos al panel principal de la aplicación.
Password = password
[+] Por último solo nos quedará instalar/configurar la base de datos de DVWA, esto es tan simple como:
Menú derecho -> Setup y pulsamos en "Create/Reset Database"
Con esto ya tendremos todo configurado para poder acercarnos a este mundo de una forma controlada, segura y sin complicaciones.
Antes de despedirme comentaros que esta implementación de DVWA dista muchísimo de ser segura, tanto la configuración de XAMPP como de la aplicación no son seguros y deberían instalarse en un entorno controlado para evitar sustos.
Ahora sí me despido, nos leemos en breve ;)
Aetsu
1 comentario:
Buenisimo hermano, no conocia de este proyecto, supongo que surgio a raiz del proyecto de aquella distro llamada DVL (Damn Vulnerable Linux) pero luego lo descontinuaron....este esta super, ahora podre practicar algunas cosillas de forma mas segura, sin joder xD
Saludos!
Publicar un comentario