Que es DVWA:

Es una aplicación web PHP / MySQL que es muy vulnerable. Sus principales objetivos son ayudar a los profesionales de seguridad a probar sus habilidades y herramientas en un entorno legal, ayudar a los desarrolladores web a comprender mejor los procesos de seguridad de las aplicaciones web y ayudar a los profesores / estudiantes a enseñar / aprender seguridad de aplicaciones web en un entorno de clase .

Como instalar DVWA Primero podemos descarga el archivo .zip desde la pagina de DVWA http://www.dvwa.co.uk/

una vez descargado el archivo .zip procedemos a descomprimirlo y pegarlo en nuestra carpeta de publicación

en este caso estoy trabajando con ubuntu 18 asi que procedemos a pegar dicha carpeta en la ruta

/var/www/html

Luego editamos el archivo config.inc.php.dist y lo guardamos con el nombre config.inc.php

La edición sera la siguiente

colocar el nombre de la base de datos el nombre de usuario de la base de datos y la clave de la base de datos

$_DVWA[ 'db_database' ] = 'dvwa';

$_DVWA[ 'db_user' ] = 'deibis';

$_DVWA[ 'db_password' ] = '1234';

luego nos dirigimos a nuestro navegador e ingresamos a phpmyadmin

localhost/phpmyadmin y creamos la base de datos llamada DVWA

Luego nos dirigimos a la pagina de dvwa

localhost/dvwa

Y nos saldrá la siguiente ventana

El usuario y la clave por defecto es usuario: admin

clave: password

y nos saldrá la siguiente ventana

nos vamos hasta lo ultimo y le damos donde dice

create / reset database

luego volvemos a iniciar sección con el usuario y clave por defecto

y nos saldra la siguiente ventana

OK listo una vez ya instalado el DVWA podemos a proceder a realizar pruebas

una parte muy importante es la pestaña de DVWA security, ya que hay nos permite elegir el nivel de dificulta para realizar nuestra pruebas.

Tenemos dificulta baja media alta

imposible

nosotros iniciaremos con la baja para realizar unas pequeñas pruebas.

Nos dirigimos a SQL injection que nos ofrece DVWA

DVWA nos ofrece 3 opciones una donde podemos hacer la injection SQL

2 La vista del código y 3 una pequeña ayuda

en la parte de vista de código podemos ver como esta programado para realizar una consulta SQL

ok el primer error que podemos observar es este código es que no esta validando la inserción que realizamos por teclado.

El segundo error es que esta seleccionando los campo de primer nombre y segundo nombre de la tabla usuario pero esto a través de su ID

que pasa si colocamos 1 es nuestra injection SQL

sencillo nos trae en primer nombre y segundo nombre de la tabla usuario

si colocamos 2 es igual

como validar si esto es cierto

sencillo vamos a la base datos DVWA a la tabla user y vemos los usuarios

hay lo tenemos ID 1 es admin

ID 2 es gordon

que nos ofrece la pestaña de ayuda

nos da una breve descripción y su ves una pequeñas practica en el campo oculto en negro

Simplemente sombree y el te dara la opcion

cuando la insertamos en nuestra injectio SQL nos saldrá lo siguiente

DVWA es una excelente herramienta el cual podemos usar para aprender de la vulnerabilidad que puede presentar nuestro código. El ejemplo que mostré solo es una pequeña cosa con la cual se puede hacer DVWA, ya que tiene muchas funciones y validaciones.

La Libertad del Código es Directamente Proporcional al Desarrollo de una Organización