xvwa

XVWA هو تطبيق ويب سيئ الترميز ومكتوب بلغة PHP/MySQL، وهو يساعد عشاق الأمان على تعلم أمان التطبيقات. ليس من المستحسن استضافة هذا التطبيق عبر الإنترنت لأنه مصمم ليكون "ضعيفًا للغاية". نوصي باستضافة هذا التطبيق في بيئة محلية/خاضعة للرقابة وصقل مهارات النينجا في أمان التطبيقات لديك باستخدام أي أدوات من اختيارك. من القانوني تمامًا اختراق هذا الأمر أو اختراقه. تتمثل الفكرة في نشر أمان تطبيقات الويب للمجتمع ربما بالطريقة الأسهل والأساسية. تعلم واكتسب هذه المهارات لغرض جيد. إن كيفية استخدامك لهذه المهارات وقاعدة المعرفة ليست مسؤوليتنا.

تم تصميم XVWA لفهم المشكلات الأمنية التالية.

• حقن SQL - يعتمد على الخطأ
• حقن SQL - أعمى
• حقن أوامر نظام التشغيل
• حقن اكس باث
• حقن الصيغة
• حقن كائن PHP
• تحميل ملف غير مقيد
• البرمجة النصية عبر المواقع المنعكسة
• البرمجة النصية للمواقع المتقاطعة المخزنة
• البرمجة النصية عبر المواقع المستندة إلى DOM
• تزوير الطلب من جانب الخادم (هجمات المنافذ عبر المواقع)
• إدراج الملف
• قضايا الجلسة
• مرجع كائن مباشر غير آمن
• التحكم في الوصول إلى المستوى الوظيفي مفقود
• تزوير طلب عبر المواقع (CSRF)
• التشفير
• إعادة التوجيه وإعادة التوجيه غير المعتمدة
• حقن القالب من جانب الخادم

حظا سعيدا والقرصنة سعيدة!

لا تستضيف هذا التطبيق في بيئة حية أو إنتاجية. يعد XVWA تطبيقًا ضعيفًا تمامًا وقد يؤدي توفير الوصول المباشر عبر الإنترنت/المباشر لهذا التطبيق إلى اختراق نظامك بالكامل. نحن لسنا مسؤولين عن أي حوادث سيئة من هذا القبيل. ابقَ آمنًا!

تم ترخيص هذا العمل بموجب ترخيص GNU العام الإصدار 3 لعرض نسخة من هذا الترخيص، قم بزيارة http://www.gnu.org/licenses/gpl-3.0.txt

XVWA خالي من المتاعب في الإعداد. يمكنك إعداد هذا على نظام التشغيل Windows أو Linux أو Mac. فيما يلي الخطوات الأساسية التي يجب عليك القيام بها في بيئة Apache-PHP-MYSQL الخاصة بك لتفعيل هذا الأمر. فليكن WAMP أو XAMP أو أي شيء تفضل استخدامه.

انسخ المجلد xvwa في دليل الويب الخاص بك. تأكد من أن اسم الدليل يظل xvwa نفسه. قم بإجراء التغييرات اللازمة في xvwa/config.php للاتصال بقاعدة البيانات. المثال أدناه:

 $ XVWA_WEBROOT = '' ;  
$ host = " localhost " ; 
$ dbname = ' xvwa ' ;  
$ user = ' root ' ; 
$ pass = ' root ' ;

يرجى ملاحظة أن إصدار mysql 5.7 وما فوق يتطلب sudoer للوصول إلى المستخدم الجذر. وهذا يعني أن مستخدم Apache لن يتمكن من استخدام اسم المستخدم "الجذر" للوصول إلى قاعدة البيانات. في مثل هذه الحالات، يجب إنشاء اسم مستخدم جديد وتغيير ملف config.php أيضًا وفقًا لذلك.

قم بإجراء التغييرات التالية في ملف تكوين PHP

file_uploads = on 
allow_url_fopen = on 
allow_url_include = on 

سيتم الوصول إلى XVWA على http://localhost/xvwa/

قم بإعداد أو إعادة تعيين قاعدة البيانات والجدول هنا http://localhost/xvwa/setup/

تفاصيل تسجيل الدخول

admin:admin
xvwa:xvwa
user:vulnerable

لقد قمت بكتابة برنامج نصي صغير لأتمتة إعداد XVWA بسهولة في توزيعات Linux. قم بتشغيل هذا باستخدام الجذر لتثبيت التبعيات إذا لم يتم العثور عليها في بيئة Linux الخاصة بك

https://github.com/s4n7h0/Script-Bucket/blob/master/Bash/xvwa-setup.sh

لقد رأيت أيضًا العديد من عمال الإرساء منشورين لإعداد XVWA. شكرنا لهم جميعا. يمكن لأي من محبي عامل الإرساء أيضًا الخروج من العمل أدناه. https://github.com/tuxotron/xvwa_lamp_container

@knoself جعل XVWA مباشرًا ISO على الحد الأدنى من خادم Ubuntu 14.04.x ​​(الإصدار 27) https://mega.nz/#!4bJ2XRLT!zOa_IZaBz-doqVZz77Rs1tbhXuR8EVBLOHktBGp11Q8

 User = xvwa
Pass = toor

تم تصميم XVWA عمدًا بحيث يحتوي على العديد من العيوب الأمنية وأرضية تقنية كافية لتحسين المعرفة المتعلقة بأمان التطبيقات. هذه الفكرة بأكملها هي نشر قضايا أمان تطبيقات الويب. أخبرنا باقتراحاتك للتحسين أو أي ثغرة أمنية أخرى ترغب في رؤيتها في إصدارات XVWA المستقبلية.

• @s4n7h0 https://twitter.com/s4n7h0
• @samanL33T https://twitter.com/samanl33t