xvwa
1.0.0
XVWA é um aplicativo da web mal codificado, escrito em PHP/MySQL que ajuda os entusiastas da segurança a aprender sobre segurança de aplicativos. Não é aconselhável hospedar este aplicativo online, pois ele foi projetado para ser “extremamente vulnerável”. Recomendamos hospedar este aplicativo em ambiente local/controlado e aprimorar suas habilidades ninja de segurança de aplicativos com qualquer ferramenta de sua escolha. É totalmente legal invadir ou hackear isso. A ideia é evangelizar a segurança de aplicações web para a comunidade da maneira possivelmente mais fácil e fundamental. Aprenda e adquira essas habilidades para um bom propósito. A maneira como você usa essas habilidades e base de conhecimento não é nossa responsabilidade.
O XVWA foi projetado para compreender os seguintes problemas de segurança.
Boa sorte e feliz hacking!
Não hospede este aplicativo em ambiente ativo ou de produção. XVWA é um aplicativo totalmente vulnerável e fornecer acesso online/ao vivo a esse aplicativo pode levar ao comprometimento total do seu sistema. Não somos responsáveis por tais incidentes graves. Fique seguro !
Esta obra está licenciada sob GNU GENERAL PUBLIC LICENSE Versão 3. Para visualizar uma cópia desta licença, visite http://www.gnu.org/licenses/gpl-3.0.txt
O XVWA é fácil de configurar. Você pode configurar isso no Windows, Linux ou Mac. A seguir estão as etapas básicas que você deve executar em seu ambiente Apache-PHP-MYSQL para que isso funcione. Seja WAMP, XAMP ou qualquer coisa que você prefira usar.
Copie a pasta xvwa em seu diretório web. Certifique-se de que o nome do diretório permaneça xvwa . Faça as alterações necessárias em xvwa/config.php para conexão com o banco de dados. Exemplo abaixo:
$ XVWA_WEBROOT = '' ;
$ host = " localhost " ;
$ dbname = ' xvwa ' ;
$ user = ' root ' ;
$ pass = ' root ' ;Observe que o mysql versão 5.7 e superior requer sudoer para acessar o usuário root. Isso significa que o usuário Apache não poderá usar o nome de usuário 'root' para acessar o banco de dados. Nesses casos, um novo nome de usuário precisaria ser criado e o arquivo config.php também precisaria ser alterado de acordo.
Faça as seguintes alterações no arquivo de configuração PHP
file_uploads = on
allow_url_fopen = on
allow_url_include = on XVWA estará acessível em http://localhost/xvwa/
Configure ou redefina o banco de dados e a tabela aqui http://localhost/xvwa/setup/
Os detalhes de login
admin:admin
xvwa:xvwa
user:vulnerableEu escrevi um pequeno script para automatizar facilmente a configuração do XVWA em distribuições Linux. Execute isto com root para instalar as dependências se não for encontrado em seu ambiente Linux
https://github.com/s4n7h0/Script-Bucket/blob/master/Bash/xvwa-setup.sh
Também vi vários dockers publicados para configurar o XVWA. Nosso agradecimento a todos eles. Qualquer amante do docker também pode conferir o trabalho abaixo. https://github.com/tuxotron/xvwa_lamp_container
@knoself criou XVWA live ISO no servidor Ubuntu mínimo 14.04.x (issue27) https://mega.nz/#!4bJ2XRLT!zOa_IZaBz-doqVZz77Rs1tbhXuR8EVBLOHktBGp11Q8
User = xvwa
Pass = toor
O XVWA foi projetado intencionalmente com muitas falhas de segurança e base técnica suficiente para aprimorar o conhecimento de segurança de aplicativos. Toda essa ideia é evangelizar as questões de segurança de aplicativos da web. Deixe-nos saber suas sugestões de melhorias ou qualquer outra vulnerabilidade que você gostaria de ver em versões futuras do XVWA.
