xvwa

XVWA adalah aplikasi web berkode buruk yang ditulis dalam PHP/MySQL yang membantu para penggemar keamanan mempelajari keamanan aplikasi. Tidak disarankan untuk meng-host aplikasi ini secara online karena dirancang untuk menjadi “Sangat Rentan”. Kami merekomendasikan untuk menghosting aplikasi ini di lingkungan lokal/terkendali dan mengasah keterampilan ninja keamanan aplikasi Anda dengan alat apa pun pilihan Anda sendiri. Membobol atau meretas hal ini sepenuhnya sah. Idenya adalah untuk menginjili keamanan aplikasi web kepada komunitas dengan cara yang mungkin paling mudah dan mendasar. Pelajari dan peroleh keterampilan ini untuk tujuan yang baik. Cara Anda menggunakan keterampilan dan basis pengetahuan ini bukan tanggung jawab kami.

XVWA dirancang untuk memahami masalah keamanan berikut.

• Injeksi SQL – Berbasis Kesalahan
• Injeksi SQL – Buta
• Injeksi Perintah OS
• Injeksi XPath
• Injeksi Formula
• Injeksi Objek PHP
• Unggah File Tanpa Batas
• Skrip Lintas Situs Tercermin
• Skrip Lintas Situs Tersimpan
• Skrip Lintas Situs Berbasis DOM
• Pemalsuan Permintaan Sisi Server (Serangan Port Lintas Situs)
• Penyertaan File
• Masalah Sesi
• Referensi Objek Langsung Tidak Aman
• Kontrol Akses Tingkat Fungsional Tidak Ada
• Pemalsuan Permintaan Lintas Situs (CSRF)
• Kriptografi
• Pengalihan & Penerusan Tidak Divalidasi
• Injeksi Templat Sisi Server

Semoga Sukses dan Selamat Meretas!

Jangan menghosting aplikasi ini di lingkungan langsung atau produksi. XVWA adalah aplikasi yang benar-benar rentan dan memberikan akses online/langsung ke aplikasi ini dapat menyebabkan kompromi total pada sistem Anda. Kami tidak bertanggung jawab atas kejadian buruk tersebut. Jaga keselamatan !

Karya ini dilisensikan di bawah GNU GENERAL PUBLIC LICENSE Versi 3 Untuk melihat salinan lisensi ini, kunjungi http://www.gnu.org/licenses/gpl-3.0.txt

XVWA tidak merepotkan untuk diatur. Anda dapat mengaturnya di windows, linux atau Mac. Berikut adalah langkah-langkah dasar yang harus Anda lakukan di lingkungan Apache-PHP-MYSQL agar ini berfungsi. Biarlah itu WAMP, XAMP atau apa pun yang Anda suka gunakan.

Salin folder xvwa di direktori web Anda. Pastikan nama direktorinya tetap xvwa sendiri. Buat perubahan yang diperlukan di xvwa/config.php untuk koneksi database. Contoh di bawah ini:

 $ XVWA_WEBROOT = '' ;  
$ host = " localhost " ; 
$ dbname = ' xvwa ' ;  
$ user = ' root ' ; 
$ pass = ' root ' ;

Harap dicatat bahwa mysql versi 5.7 dan di atasnya memerlukan sudoer untuk mengakses pengguna root. Ini berarti pengguna apache tidak akan dapat menggunakan nama pengguna 'root' untuk mengakses database. Dalam kasus seperti itu, nama pengguna baru perlu dibuat dan file config.php juga perlu diubah.

Buat perubahan berikut pada file konfigurasi PHP

file_uploads = on 
allow_url_fopen = on 
allow_url_include = on 

XVWA akan dapat diakses di http://localhost/xvwa/

Setup atau reset database dan tabel di sini http://localhost/xvwa/setup/

Detail masuk

admin:admin
xvwa:xvwa
user:vulnerable

Saya telah menulis skrip kecil untuk mengotomatiskan Pengaturan XVWA dengan mudah di distribusi linux. Jalankan ini dengan root untuk menginstal dependensi jika tidak ditemukan di lingkungan linux Anda

https://github.com/s4n7h0/Script-Bucket/blob/master/Bash/xvwa-setup.sh

Saya juga melihat beberapa buruh pelabuhan diterbitkan untuk menyiapkan XVWA. Terima kasih kami kepada mereka semua. Setiap pecinta buruh pelabuhan juga dapat melakukan pembayaran di bawah ini. https://github.com/tuxotron/xvwa_lamp_container

@knoself membuat XVWA live ISO di server Ubuntu minimal 14.04.x ​​(issue27) https://mega.nz/#!4bJ2XRLT!zOa_IZaBz-doqVZz77Rs1tbhXuR8EVBLOHktBGp11Q8

 User = xvwa
Pass = toor

XVWA sengaja dirancang dengan banyak kelemahan keamanan dan landasan teknis yang memadai untuk meningkatkan pengetahuan keamanan aplikasi. Seluruh ide ini adalah untuk menginjili masalah keamanan aplikasi web. Beri tahu kami saran Anda untuk perbaikan atau kerentanan lainnya yang ingin Anda lihat di rilis XVWA mendatang.

• @s4n7h0 https://twitter.com/s4n7h0
• @samanL33T https://twitter.com/samanl33t