DVWA, yani Damn Vulnerable Web Application web uygulama guvenligi alaninda kendini gelistirmek ve tecrube kazanmak isteyen guvenlik uzmanlari icin olusturulmus PHP tabanli, seviyenize gore dusuk, orta ve yuksek derecelerde aciklar olusturan, localhost (127.0.0.1) uzerinde calisan bir web uygulamasidir. DVWA bize;
Brute Force,
CSRF,
SQL Enjeksiyonu,
Upload Vuln.
File Inclusion,
Command Execution,
XSS Reflected/Stored,
gibi sikca kullanilan bazi webapp. guvenlik zaafiyetlerinin ve ataklarinin tespit edinilmesi - bu aciklardan yararlanilmasi uzerinde deneyim kazanmayi sunuyor. Bugun sizlerle Ubuntu 14.04.3 Trusty Tahr uzerinden DVWA kurulumunu ogrenecegiz.
1_ 'sudo su' komutu ile terminal uzerinde yonetici izinlerine sahip olunur. Asagidaki komut yardimiyla MySql, bilgisayara kurulur. MySql coklu kullanici barindirma icerigi sunan bir veritabani yonetim sistemidir. Kurulum esnasinda sizden MySql icin bir sifre ister. Onu girersiniz ve kurulum sona erer.
Kod:
root@archLuser:~# apt-get install mysql-server
2_ PHP5, PHP-PEAR, Apache2 web sunucusu ve PHP5-MySql asagidaki komut yardimiyla kurulur. PHP, daha once de bahsettigimiz gibi DVWA'nin yazilmis oldugu web programlama dilidir. Apache ise acik kaynak kodlu, web sunucu yazilimidir.
Kod:
root@archLuser:~# apt-get install unzip apache2 php5 php5-mysql php-pear
3_ Gerekli olan yazilimlar sisteme kurulup barindirildiktan sonra DVWA'nin kurulumuna gecilir. Bunun icin asagidaki komutlar sirasiyla yazilir.
Kod:
root@archLuser:~# cd /var/www/html
root@archLuser:/var/www/html# wget https://github.com/RandomStorm/DVWA/archive/v1.0.8.zip
root@archLuser:/var/www/html# unzip v1.0.8.zip
root@archLuser:/var/www/html# mv DVWA-1.0.8 dvwa
4_ Kurulum dosyalari Apache web sunucusunun default olarak kullandigi dizine aktarildiktan sonra gerekli olan ayarlamalar yapilir. Bu ayarlamalari sirasiyla a, b, c ve d olmak uzere 4 adimda inceleyecegiz.
a) DVWA config dosyasi editlenir. Bunun icin;
Kod:
root@archLuser:/var/www/html# nano dvwa/config/config.inc.php
komutu ile config (ayar) dosyasi herhangi bir text editor ile acilir. Biz bugun nano'yu kullandik. Karsimiza cikan ekranda 'db_password' kismi MySql kurulumunda belirledigimiz sifre yapilir ve Ctrl+X komutu ile cikilir.
b) Terminal uzerinden Apache PHP ayarlari duzenlenir. Bunun icin ise;
Kod:
root@archLuser:~# nano /etc/php5/apache2/php.ini
komutu kullanilir. 'allow_url_include' kismi bulunarak 'Off' ayari 'On' olarak degistirilir. Bu da yapildiktan sonra;
Kod:
root@archLuser:~# chmod -R 777 /var/www/html/dvwa
Keine Kommentare:
Kommentar veröffentlichen