xvwa

XVWA는 보안 매니아가 애플리케이션 보안을 배울 수 있도록 도와주는 PHP/MySQL로 작성된 잘못 코딩된 웹 애플리케이션입니다. 이 애플리케이션은 "매우 취약"하도록 설계되었으므로 온라인으로 호스팅하는 것은 바람직하지 않습니다. 로컬/제어 환경에서 이 애플리케이션을 호스팅하고 원하는 도구를 사용하여 애플리케이션 보안 닌자 기술을 연마하는 것이 좋습니다. 이를 깨거나 해킹하는 것은 완전히 합법적입니다. 가장 쉽고 근본적인 방법으로 웹 애플리케이션 보안을 커뮤니티에 전파하는 것이 아이디어입니다. 좋은 목적을 위해 이러한 기술을 배우고 습득하십시오. 이러한 기술과 지식 기반을 어떻게 사용하는지는 당사의 책임이 아닙니다.

XVWA는 다음과 같은 보안 문제를 이해하도록 설계되었습니다.

• SQL 주입 - 오류 기반
• SQL 주입 – 블라인드
• OS 명령 주입
• XPATH 주입
• 포뮬라 주입
• PHP 객체 주입
• 무제한 파일 업로드
• 반영된 크로스 사이트 스크립팅
• 저장된 크로스 사이트 스크립팅
• DOM 기반 크로스 사이트 스크립팅
• 서버 측 요청 위조(교차 사이트 포트 공격)
• 파일 포함
• 세션 문제
• 안전하지 않은 직접 객체 참조
• 기능 수준 액세스 제어 누락
• 크로스 사이트 요청 위조(CSRF)
• 암호화
• 검증되지 않은 리디렉션 및 전달
• 서버측 템플릿 주입

행운을 빕니다. 즐거운 해킹이 되시길 바랍니다!

라이브 또는 프로덕션 환경에서 이 애플리케이션을 호스팅하지 마십시오. XVWA는 완전히 취약한 응용 프로그램이며 이 응용 프로그램에 대한 온라인/라이브 액세스를 제공하면 시스템이 완전히 손상될 수 있습니다. 우리는 그러한 나쁜 사건에 대해 책임을 지지 않습니다. 안전히 계세요 !

이 저작물은 GNU GENERAL PUBLIC LICENSE 버전 3에 따라 라이센스가 부여됩니다. 이 라이센스의 사본을 보려면 http://www.gnu.org/licenses/gpl-3.0.txt를 방문하십시오.

XVWA는 설치가 번거롭지 않습니다. Windows, Linux 또는 Mac에서 설정할 수 있습니다. 다음은 이 작업을 수행하기 위해 Apache-PHP-MYSQL 환경에서 수행해야 하는 기본 단계입니다. WAMP, XAMP 또는 귀하가 선호하는 모든 것을 사용하십시오.

웹 디렉터리에 xvwa 폴더를 복사합니다. 디렉토리 이름이 xvwa 자체로 남아 있는지 확인하십시오. 데이터베이스 연결을 위해 xvwa/config.php에서 필요한 사항을 변경합니다. 아래 예:

 $ XVWA_WEBROOT = '' ;  
$ host = " localhost " ; 
$ dbname = ' xvwa ' ;  
$ user = ' root ' ; 
$ pass = ' root ' ;

mysql 버전 5.7 이상에서는 루트 사용자에 액세스하려면 sudoer가 필요합니다. 이는 Apache 사용자가 '루트' 사용자 이름을 사용하여 데이터베이스에 액세스할 수 없음을 의미합니다. 이러한 경우, 새로운 사용자 이름을 생성해야 하며 그에 따라 config.php 파일도 변경해야 합니다.

PHP 구성 파일을 다음과 같이 변경합니다.

file_uploads = on 
allow_url_fopen = on 
allow_url_include = on 

XVWA는 http://localhost/xvwa/에서 액세스할 수 있습니다.

여기(http://localhost/xvwa/setup/)에서 데이터베이스와 테이블을 설정하거나 재설정하세요.

로그인 세부정보

admin:admin
xvwa:xvwa
user:vulnerable

Linux 배포판에서 XVWA 설정을 쉽게 자동화하기 위해 작은 스크립트를 작성했습니다. Linux 환경에서 종속성을 찾을 수 없는 경우 루트 로 이것을 실행하여 종속성을 설치하십시오.

https://github.com/s4n7h0/Script-Bucket/blob/master/Bash/xvwa-setup.sh

또한 XVWA를 설정하기 위해 게시된 여러 도커를 보았습니다. 그들 모두에게 감사드립니다. 도커 애호가라면 누구나 작업 아래에서 결제할 수 있습니다. https://github.com/tuxotron/xvwa_lamp_container

@knoself는 최소 Ubuntu 서버 14.04.x에서 XVWA 라이브 ISO를 만들었습니다(issue27) https://mega.nz/#!4bJ2XRLT!zOa_IZaBz-doqVZz77Rs1tbhXuR8EVBLOHktBGp11Q8

 User = xvwa
Pass = toor

XVWA는 의도적으로 많은 보안 결함과 애플리케이션 보안 지식을 향상시킬 수 있는 충분한 기술적 기반을 갖추고 설계되었습니다. 이 전체 아이디어는 웹 애플리케이션 보안 문제를 전파하는 것입니다. XVWA 향후 릴리스에서 보고 싶은 개선 사항이나 추가 취약점에 대한 제안 사항을 알려주십시오.

• @s4n7h0 https://twitter.com/s4n7h0
• @samanL33T https://twitter.com/samanl33t