Hvernig á að setja upp fjandans viðkvæmt vefforrit á Rocky Linux 8

Helvítis viðkvæmt vefforrit (DVWA) er PHP og MySQL vefforrit, ókeypis og opinn uppspretta viðkvæmt vefforrit. Meginmarkmið þess er að aðstoða öryggissérfræðinga við að prófa færni sína og verkfæri með ýmsum erfiðleikastigum til að hjálpa vefhönnuðum að skilja betur ferlið við að tryggja vefforrit.

VIÐVÖRUN! VIÐVÖRUN! VIÐVÖRUN! VIÐVÖRUN!

Ekki hlaða því upp í opinbera html möppu hýsingarveitunnar eða neina netþjóna sem snúa að internetinu, þar sem þeim verður stefnt í hættu. Að nota sýndarvél (eins og VirtualBox eða VMware) er mælt með, stillt á NAT netstillingu.


Fáðu


Forsendur

  • Mælt með stýrikerfi: Rocky Linux 8.+.
  • Notendareikningur: Notendareikningur með sudo eða rót aðgang.
  • Nauðsynlegir pakkar: Git

Uppfærðu stýrikerfi

Uppfærðu þína Rocky linux stýrikerfi til að tryggja að allir núverandi pakkar séu uppfærðir:

sudo dnf upgrade --refresh -y

Kennsluefnið mun nota sudo skipun og að því gefnu að þú sért með sudo stöðu.

Til að staðfesta sudo stöðu á reikningnum þínum:

sudo whoami

Dæmi um úttak sem sýnir sudo stöðu:

[joshua@rockylinux ~]$ sudo whoami
root

Til að setja upp núverandi eða nýjan sudo reikning skaltu fara á kennsluna okkar á Hvernig á að bæta notanda við Sudoers á Rocky Linux.

Til að nota rótarreikningur, notaðu eftirfarandi skipun með rót lykilorðinu til að skrá þig inn.

su

Settu upp Git pakkann

Í kennslunni þarftu Git uppsett með eftirfarandi skipun:

sudo dnf install git -y

Að setja upp Apache, MariaDB og PHP fyrir DVWA

DVWA is PHP og MySQL byggt umsókn. Fyrir þetta þarftu að setja upp Apache vefþjónn, MariaDB, PHP, og nokkrir aðrir nauðsynlegir pakkar. Til að gera þetta skaltu nota eftirfarandi flugstöðvaskipun:

sudo dnf install httpd mariadb-server php php-pdo php-mysqlnd php-cli php-gd git -y

Nú þarftu að breyta PHP stillingarskrá (php.ini).

Fyrst skaltu opna stillingarskrána með því að nota nano:

sudo nano /etc/php.ini

Næst skaltu finna eftirfarandi línur með því að nota (CTRL+W) til að leita að neðan:

allow_url_fopen = On
allow_url_include = On
display_errors = Off

Vistaðu stillingarskrána (CTRL+O), farðu síðan úr (CTRL+X).

Endurræsa Apache og MariaDB þjónustu sem notar eftirfarandi skipanir sem mun einnig virkja þjónustuna við ræsingu:

Apache:

sudo systemctl enable httpd --now

MariaDB:

sudo systemctl enabloe mariadb --now

Þegar það er virkjað skaltu ganga úr skugga um að báðar þjónusturnar virki með eftirfarandi skipunum:

Apache:

sudo systemctl status httpd

MariaDB

sudo systemctl status mariadb

Ef öll þjónusta er í gangi með stöðu ok og grænt, þú getur haldið áfram í næsta hluta kennslunnar.


Fáðu


Stillir MariaDB fyrir DVWA

Nú þarftu að búa til notanda og gagnagrunn til að nota DVWA.

Fyrst skaltu tengjast MariaDB þjónustunni þinni með eftirfarandi skipun:

sudo mysql -u root

Þegar þú ert tengdur skaltu búa til gagnagrunn og notanda með eftirfarandi skipun:

create database dvwadb;
grant all on dvwa.* to dvwauser@localhost identified by 'password';

Til að klára að stilla MariaDB skaltu skola réttindin og hætta með eftirfarandi skipun:

flush privileges;
exit;

Settu upp DVWA

Til að hlaða niður DVWA, þú munt nota fara til að klóna opinberu geymsluna úr Github verkefnisins.

Klónaðu geymsluna með því að nota eftirfarandi skipun:

sudo git clone https://github.com/ethicalhack3r/DVWA /var/www/html/

Þegar þú ert búinn að klóna DVWA með fara, skiptu yfir í möppuna og afritaðu stillingarsýnishornið:

cd /var/www/html/config/
sudo cp config.inc.php.dist config.inc.php

Næsta skref er að breyta stillingarskránni með eftirfarandi skipun:

sudo nano /var/www/html/config/config.inc.php

Þú munt nú breyta stillingarskránni til að henta gagnagrunnsupplýsingunum þínum og búa til a reCAPTCHA lykill:

_DVWA[ 'db_server' ]   = '127.0.0.1';
_DVWA[ 'db_database' ] = 'dvwadb';
_DVWA[ 'db_user' ]     = 'dvwauser';
_DVWA[ 'db_password' ] = 'password'; 

# Note, you will need to generate your own keys at: https://www.google.com/recaptcha/admin

_DVWA[ 'recaptcha_public_key' ]  = 'generated key';
_DVWA[ 'recaptcha_private_key' ] = 'generated key';

Til að vista skrána (CTRL+O), farðu síðan út (CTRL+X).

Athugið: Ekki gleyma að búa til reCAPTCHA gildi í stillingarskránni með því að nota Google þjónustu. 

Næsti hluti er að stilla eigandaleyfið á Apache rótarskrána.

Stilltu eigandaleyfið með því að nota eftirfarandi flugstöðvaskipun:

sudo chown -R apache:apache /var/www/html

Til að endurspegla breytingarnar skaltu endurræsa Apache og MariaDB þjónustu til að beita breytingunum:

sudo systemctl restart httpd mariadb

Fáðu


Stilltu SELinux og eldvegg

SELinux er sjálfkrafa stillt og virkt á Rocky Linux 8. Auðvitað, gefið SELinux er ætlað að vernda gegn ógnum, þú þarft að stilla öryggishugbúnaðinn til að fá aðgang að DVWA.

Til að gera þetta skaltu keyra eftirfarandi skipun til að stilla á SELinux:

sudo setsebool -P httpd_unified 1
sudo setsebool -P httpd_can_network_connect 1
sudo setsebool -P httpd_can_network_connect_db 1

Nú þarftu að stilla eldvegginn til að leyfa aðgang að port 80 með eftirfarandi:

sudo firewall-cmd --permanent --zone public --add-port 80/tcp

Til að endurspegla breytingarnar sem þú þarft að endurræsa eldvegginn skaltu nota eftirfarandi skipun:

sudo firewall-cmd --reload

Aðgangur að og notkun DVWA vefviðmóts

Næsti hluti er aðgangur að DWVA vefviðmót nota þína IP tölu miðlara. Til dæmis notar kennsluefnið HTTP://127.0.0.1/setup.php eins og það er sett upp í einangruðu Virtual Machine. Þegar þú hefur slegið inn heimilisfangið verðurðu sendur á eftirfarandi síðu:

Hvernig á að setja upp fjandans viðkvæmt vefforrit á Rock Linux 8

Neðst á síðunni smellirðu á Búa til / endurstilla gagnagrunn. Þetta mun búa til allar nauðsynlegar stillingar sem eru settar upp í gagnagrunninum þínum og mun síðan leiða þig á eftirfarandi innskráningarsíðu eins og hér að neðan:

Hvernig á að setja upp fjandans viðkvæmt vefforrit á Rock Linux 8

Athugið, sjálfgefið notandanafn is (stjórnandi), og sjálfgefið lykilorð is (lykilorð).

Sláðu inn upplýsingarnar og smelltu á Skrá inn hnappinn til að halda áfram. Þú munt nú koma á aðalskjáinn eins og hér að neðan:

Hvernig á að setja upp fjandans viðkvæmt vefforrit á Rock Linux 8

Söfnuðir, þið hafið sett upp Helvítis viðkvæmt vefforrit (DVWA) með góðum árangri.


Fáðu


Athugasemdir og niðurstaða

Í kennslunni hefurðu lært að setja upp Rocky Linux 8 DVWA sem þú getur nú notað til að prófa vefforritin þín eða öryggisþekkingu þína eða auka heildarkunnáttu þína. Varnaðarorð eins og í upphafi handbókarinnar, þú mátt ekki nota þetta í a framleiðslu miðlara þar sem það verður í hættu samkvæmt eðli þessa hugbúnaðar.

Nánari upplýsingar má finna um verkefnin Github síðu.

Leyfi a Athugasemd