xvwa
1.0.0
XVWA — это плохо закодированное веб-приложение, написанное на PHP/MySQL, которое помогает энтузиастам безопасности изучить безопасность приложений. Не рекомендуется размещать это приложение в Интернете, поскольку оно разработано как «чрезвычайно уязвимое». Мы рекомендуем разместить это приложение в локальной/контролируемой среде и отточить свои навыки ниндзя в области безопасности приложений с помощью любых инструментов по вашему выбору. Взламывать или взломать это совершенно законно. Идея состоит в том, чтобы пропагандировать безопасность веб-приложений среди сообщества, возможно, самым простым и фундаментальным способом. Изучите и приобретите эти навыки для благих целей. Мы не несем ответственности за то, как вы используете эти навыки и базу знаний.
XVWA предназначен для понимания следующих проблем безопасности.
Удачи и счастливого взлома!
Не размещайте это приложение в реальной или производственной среде. XVWA является полностью уязвимым приложением, и предоставление онлайн-доступа к этому приложению может привести к полной компрометации вашей системы. Мы не несем ответственности за подобные неприятные инциденты. Будьте в безопасности!
Эта работа распространяется по ГЕНЕРАЛЬНОЙ ПУБЛИЧНОЙ ЛИЦЕНЗИИ GNU версии 3. Чтобы просмотреть копию этой лицензии, посетите http://www.gnu.org/licenses/gpl-3.0.txt.
XVWA легко настроить. Вы можете настроить это на Windows, Linux или Mac. Ниже приведены основные шаги, которые вам следует выполнить в среде Apache-PHP-MYSQL, чтобы все заработало. Пусть это будет WAMP, XAMP или что-то еще, что вы предпочитаете использовать.
Скопируйте папку xvwa в свой веб-каталог. Убедитесь, что имя каталога остается xvwa . Внесите необходимые изменения в xvwa/config.php для подключения к базе данных. Пример ниже:
$ XVWA_WEBROOT = '' ;
$ host = " localhost " ;
$ dbname = ' xvwa ' ;
$ user = ' root ' ;
$ pass = ' root ' ;Обратите внимание, что MySQL версии 5.7 и выше требует sudoer для доступа к пользователю root. Это означает, что пользователь Apache не сможет использовать имя пользователя root для доступа к базе данных. В таких случаях необходимо будет создать новое имя пользователя и соответствующим образом изменить файл config.php.
Внесите следующие изменения в файл конфигурации PHP.
file_uploads = on
allow_url_fopen = on
allow_url_include = on XVWA будет доступен по адресу http://localhost/xvwa/.
Настройте или сбросьте базу данных и таблицу здесь http://localhost/xvwa/setup/
Данные для входа
admin:admin
xvwa:xvwa
user:vulnerableЯ написал небольшой скрипт, позволяющий легко автоматизировать установку XVWA в дистрибутивах Linux. Запустите это с правами root , чтобы установить зависимости, если они не найдены в вашей среде Linux.
https://github.com/s4n7h0/Script-Bucket/blob/master/Bash/xvwa-setup.sh
Я также видел несколько докеров, опубликованных для настройки XVWA. Мы благодарим их всех. Любые любители докера также могут оформить заказ ниже работы. https://github.com/tuxotron/xvwa_lamp_container
@knoself создал живой ISO-образ XVWA на минимальном сервере Ubuntu 14.04.x (issue27) https://mega.nz/#!4bJ2XRLT!zOa_IZaBz-doqVZz77Rs1tbhXuR8EVBLOHktBGp11Q8
User = xvwa
Pass = toor
XVWA намеренно разработан с учетом множества недостатков безопасности и достаточной технической базы для повышения квалификации в области безопасности приложений. Вся эта идея состоит в том, чтобы пропагандировать проблемы безопасности веб-приложений. Сообщите нам свои предложения по улучшению или любые другие уязвимости, которые вы хотели бы видеть в будущих выпусках XVWA.
