Web安全与防护实训指导书.pdf

安装DVWA系统

【实训目的】

通过实训达到如下目的：

1.认识WEB系统架构。

2.清楚WEB系统所采用的技术。

3.为后续单元的实训任务奠定基础。

【实训原理】

DVWA（DamnVulnerableWebApplication）是一个用来进行安全脆弱性鉴定

的PHP+MySQLWeb应用，旨在为安全专业人员测试自己的专业技能和工具提

供合法的环境，更好的理解web应用漏洞利用与安全防范的过程。DVWA版本

较多，本书使用DVWA-master版本，其主要模块如下：

BruteForce（暴力破解）

CommandInjection（命令行注入）

CSRF（跨站请求伪造）

FileInclusion（文件包含）

FileUpload（文件上传）

SQLInjection（SQL注入）

SQLInjection（Blind）（SQL盲注）

XSS（Reflected）（反射型跨站脚本）

XSS（Stored）（存储型跨站脚本）

XSS（DOM）（DOM型跨站脚本）

同时每个模块的代码都有4种安全等级：Low、Medium、High、impossible。

通过不同难度的测试并参考代码变化可帮助使用者更快的理解漏洞的原理与防

范方法。

务必注意：由于DVWA存在大量漏洞，不能将DVWA作为一种WEB服务接入互联

网，否则会给所在网络带来严重的安全隐患。

DVWA系统是PHP+MySQL构成的WEB系统，需要安装Apache、MySQL、

PHP等相应软件作为运行环境。为简化实训，我们采用XAMPP集成软件包，其

包括Apache、MySQL、PHP、Perl等应用，可以在Windows、Linux、Solaris、

MacOSX等多种操作系统下安装使用，支持英文、简体中文等多语言，其可以

为架构为PHP+MySQL的WEB系统提供运行环境。

【实训步骤】

步骤一、安装系统运行环境XAMPP

1.下载XAMPP安装包

地址：/zh_cn/index.html

2.XAMPP程序安装

双击安装程序，然后一直next，有空的地方全部打钩就可完成安装。在选择

安装目录时，最好放置到D盘。安装完成后，点击finish，出现控制面板。

图1-3XAMPP控制面板

3.打开控制面板与启动应用

找到安装路径，此处的安装路径是：D:\xampp。

图1-4XAMPP安装路径

双击该路径下的xampp-contrl.exe就可以控制面板。

XAMPP有Apache、MySQL、FileZilla等应用，只需要点击某个应用对应的

Actions栏当中对应的start按钮即可启动该应用。一般情况只需启用Apache、

MySQL即可。

Apache经常会遇到因为端口占用导致无法启动的问题。Apache提供HTTP

和HTTPS服务，他们默认对应的端口分别是80和443，如果这两个端口被占用

就无法启动Apache。一是修改Apache使用的端口，二是关闭占用端口的程序。

修改Apache使用的端口的方法易于操作，因此推荐此种方法。

根据是80端口被占用，还是443端口被占用做相应配置。如果是80端口被

占用，在控制面板中点击Apache对应的config按钮，选择httpd.conf，将原先的

“Listen80”中的80修改成它未被占用的端口，如8000；如果是443端口被占

用，在控制面板中点击Apache对应的config按钮，选择httpd-ssl，将原先的“Listen

443”中的443修改成它未被占用的端口。

4.确定XAMPP网站根目录

WEB应用程序放置到该目录或其子目