APP下载

基于DVWA平台的渗透测试教学探索与实践

2023-05-10容健昌

计算机应用文摘·触控 2023年9期
关键词:靶机

容健昌

关键词:DVWA;渗透测试;Web安全;靶机

DVWA全称为Damn Vulnerable Web Application,其含义是指存在非常严重漏洞的一套Web应用。它是基于PHP/MySQL开发的存在严重漏洞的Web应用,给专业的安全人员提供一个合法的渗透测试运行环境,以测试他们的工具和技能。同时,通过对它的测试,能够帮助Web开发人员理解Web应用保护的原理及过程。最后,通过该平台的搭建测试,还可以在课堂中为师生的讲解和Web应用安全性教学提供便利。本文是基于DVWA平台实现渗透测试教学的探索与实践,其意义在于以实现渗透测试教学环境的角度,将搭建平台的步骤标准化,从而满足学生学习渗透测试的条件要求。

1DVWA的渗透测试环境配置简介

1.1Phpstudy简介

Phpstudy是一个Web应用,其集成了Apache、PHP语言开发、MySQL数据库,能够以最为简单的构建方式和简洁的界面给用户呈现出一般性Web服务器的运行环境。DVWA的运行需要安装一个Web服务器,PHP开发环境,MySQL数据库。针对计算机专业的学生来说,若要配置好的Web服务器,则需要有较为系统性的知识储备,而较为简单的方法就是下载并安装Phpstudy。使用Phpstudy可以简单地在Linux,Solaris,Windows和Mac OS X上模拟基于PHP的Web服务器环境。这个安装包包含Apache Web服务器,MySQL,PHP。现实中,人们可以通过其发行的官方网站https://www. xp. cn进行下载Phpstudy. zip,选择合适的版本进行安装即可。本文采用的是Phpstudy 18 Windows版本。通过Phpstudy的简易安装,可以省去复制Web应用服务器环境的配置,适合大多数计算机专业的学生进行独立环境的配置,并简化了师生的配置流程。在高校多年实验教学中,使用Phpstudy进行简单Web应用服务器的环境搭建,能够满足一般性中型网站服务器的部署,以及将真实的Web应用服务器转变成高校网络安全渗透测试的实验室环境。

1.2DVWA简介

人们在学习网络安全渗透技术时,需要对实验环境进行各种技术、工具的测试,但随着近年来网络安全法规的逐步健全,这样的测试环境已经不能随便让人使用,为了能够较为真实地学习Web渗透的各种技术,就需要找一个专门用于学习的Web演练平台,并将这种用于练习渗透的平台称为“靶场”。DVWA是一个人门级别的Web安全学习靶场(包含暴力破解,命令注入,文件包含,文件上传,不安全的验证码,SQL注入,跨站脚本,XSS等),通过简单的配置,就能够提供模拟渗透测试方面的学习[1]。

准确来说,DVWA是一个Web应用集成,它集成了PHP语言开发和MySQL数据库相关软件,能够以最为快捷、简单的方式为用户构建出一个充满严重漏洞的Web服务器的运行环境。DVWA可以进行SQL注入、XSS、CSRF、文件上传等漏洞的演练,由于该系统提供了多个安全演练级别,因此其可以逐步提高Web渗透技术。DVWA是一套开源的系統,在练习Web渗透技术的同时,也可以通过阅读源码学习对于各种漏洞的安全防护编码。

2基于DVWA平台的渗透测试环境的配置

2.1Web应用服务器环境搭建

随着我国信息技术的发展和网络安全事件频发,网络信息安全专业已成为我国很多高校开设的基础性专业,其适合于高等院校网络信息安全专业方向的学生学习与使用。在高校学生进行配置网络安全渗透测试环境实验过程中,由于他们学习的计算机专业方向有所区别,因此其学习网络安全知识的侧重点有所不同,从而导致他们配置出的实验结果差异较大。专业指导教师需按照高校自建计算机实验室的运行条件,结合Phpstudy和DVWA两个软件进行网络安全渗透测试实验配置,将实验正确的步骤与现有靶机软件组成工作结合,才能够有效展示出网络安全渗透测试实验配置真实水平,最大程度地将实际网络环境中的Web应用服务网站进行还原。在制定及搭建普适性Web应用服务器的真实运行环境时,要结合网络安全渗透测试的具体应用场景与要求[2]。因此在设计本次搭建网站渗透测试实验配置项目时,需要对项目设计中所涉及的Phpstudy,DVWA和服务器等设备配置及其相关的渗透测试实验项目要求进行配置需求分析,形成统一的标准配置方案,以提升实验环境搭建的成功率,并在以后的网络安全渗透测试实验中形成一套标准流程。

在高校Web应用安全实验室中,专业教师可以指导学生在实验室中进行安装、配置渗透测试环境,由于过程配置较为简单,专业教师可以在上课期间,对照整理好的安装、配置流程图,指导学生一步一步实践。鼠标双击已经下载好的Phpstudy软件,按照安全提示,选择安装途径即可完成环境软件的安装,正常启动后,就能正常打开Web应用服务器,为用户提供Web服务。

2.2Web应用服务器配置

完成Web应用服务器环境搭建后,需要将DVWA复制到phpStudy的WWW子目录下,并将文件修改为可编辑的php文件,然后用文本格式打开,将该配置文件中与数据库相关的参数修改为与Phpstudy对应的用户和密码一致的root,在配置过程中,应按照全局规划、有序配置规则进行,以形成配置的标准化和流程化,从而避免重复配置或遗漏配置等问题,达到提升实验配置质量水平的目的。

3基于XSS的模拟攻击实验流程分析

3.1XSS概述

跨站点脚本( XSS)漏洞是网站上最常见的可利用漏洞。由于缺乏输入数据清理,XSS漏洞普遍存在于各大网站。XSS攻击涉及三个实体:攻击者、受害者、脆弱网站或Web应用程序[3]。攻击产生的本质原因在于脆弱网站的一个HTML页面上有一个可以返回用户输入的脚本,而该脚本并不对用户的输入进行任何审查,这就使得攻击者可以在其中输入JavaScript代码,并由受害者的浏览器执行。因此,其有可能构造一个指向该脆弱网站的链接,该链接中的一个参数就是恶意JavaScript代码。这个JavaScript代码将在打开的脆弱网站环境中由受害者的浏览器执行,使攻击者访问受害者关于脆弱网站的cookie。DVWA是一个分安全等级,以及存在严重安全漏洞的Web应用服务器的靶机,通过设置其安全等级,可以将XSS漏洞尽可能地显示出来,以便在实验室进行渗透测试过程中,让学生亲自体验该攻击行为的全过程。

3.2修改DVWA安全等级

启动PHPStudy后,就可以在浏览器上输入http://127.0.0. 1/dvwa进行登录,录入默认的用户名admin和密码password后,进入搭建好的DVWA靶场[4]。由于靶场为了适应不同技术等级的人员使用,整个靶场的安全级别设置为四个级别,为了简单测试渗透测试的实战作用,本文选择最低安全级别来演示,具体安全等级设置如图1所示。

在DVWA靶机右侧的菜单项,选中DVWASecurity后,在后侧的安全级别中选择LOW级别,再进行确认就可以将靶机的安全级别设为最低级别,以便入门级用户进行安全渗透测试实验。

配置完安全级别后,就可以开始模拟渗透测试实验。选择反射性跨网站攻击,在右侧的菜单栏中选择XSS(Reflected)后,在输入框中输入简单的脚本语句后,点击确认,完成攻击。结果显示,通过在输入框中录入脚本语句,并在Web应用程序没有对输入语句进行审查的环境下,靶机的浏览器完全执行了用户录入的非法代碼,从而验证了该网站存在验证的跨网站脚本攻击漏洞。该攻击行为虽然简单易用,但通过实验,给学生带来很直观的渗透测试实验体验,并具体阐述了典型的Web应用网站遭遇XSS攻击的整个工作原理和流程。

3.3结果性测试

结果性测试也是基于DVWA平台实现渗透测试教学配置最为重要的一项任务,只有按照整个实验环境进行搭建,并对服务器的基本配置和安全等级进行设定,才能更加流程化地完成网络安全渗透测试实验步骤。在进行DVWA平台实现渗透测试教学配置实验之前,需要将整体环境配置流程化和标准化,将实验的结果进行量化,标识出的每项结果需要达到预期目标,对结果进行普适性分析,并列出满足实验目的各项指标,以检测测试结果是否符合设定流程以及是否实现实验的各项技术指标。在渗透测试过程中,通过对靶机平台的构建,明确学生需要完成的渗透测试任务,并给出渗透测试的目的和结果,让学生按照标准化流程和任务点,对靶机进行各种类型的安全渗透测试(如XSS、暴力破解,命令注入,文件包含,文件上传,不安全的验证码,SQL注入等),通过各种类型Web应用程序的漏洞测试,能够让学生从实验结果中反思漏洞的基本原理,从而更好地提升课堂教学效果。而在本次基于DVWA平台实现渗透测试教学的探索与实践中,只要充分利用现在高校网络安全实验室的硬件设施设备,能够完全满足各种类型的Web应用程序渗透测试的教学要求,通过让学生独立完成各种实验,以实现提升学生实操动手能力的教学目标。

4结束语

在基于DVWA平台实现渗透测试教学的探索与实践实验中,主要从网络安全渗透测试实验设计目的、配置步骤、实验要求和配置分析以及实验结果分析等多方面对基于DVWA平台实现渗透测试教学的探索与实践实验进行了分析,从综述角度来看,在高校现有的网络安全实验环境中,使用Phpstudy和DVWA进行网络安全渗透测试平台搭建时,应该明确环境搭建中的各项配置任务的指标和要求,并且明确环境搭建目的及要求、配置过程配置标准、渗透测试效果可测量,这样才能够准确、科学地突出使用Web应用服务器靶机进行实验的特性,进而有效地为网络安全渗透测试配置奠定基础,提升渗透测试实验配置水平。

猜你喜欢

靶机
以达成用户需求为目标的靶机保障研究
靶机系统的发展趋势
莱昂纳多公司新型靶机被意大利海军用于训练
美国海军空中靶标发展研究
美国克雷托斯公司扩大靶机研发和制造
某型高速无人靶机飞行控制的设计与实现
高速像真无人靶机
SZ—300型隐身高速靶机
SZ—250型隐身高速靶机
靶机