Como Instalar DVWA
Que es DVWA:
Es una aplicación web PHP / MySQL que es muy vulnerable. Sus principales objetivos son ayudar a los profesionales de seguridad a probar sus habilidades y herramientas en un entorno legal, ayudar a los desarrolladores web a comprender mejor los procesos de seguridad de las aplicaciones web y ayudar a los profesores / estudiantes a enseñar / aprender seguridad de aplicaciones web en un entorno de clase .
Como instalar DVWA Primero podemos descarga el archivo .zip desde la pagina de DVWA http://www.dvwa.co.uk/
una vez descargado el archivo .zip procedemos a descomprimirlo y pegarlo en nuestra carpeta de publicación
en este caso estoy trabajando con ubuntu 18 asi que procedemos a pegar dicha carpeta en la ruta
/var/www/html
Luego editamos el archivo config.inc.php.dist y lo guardamos con el nombre config.inc.php
La edición sera la siguiente
colocar el nombre de la base de datos el nombre de usuario de la base de datos y la clave de la base de datos
$_DVWA[ 'db_database' ] = 'dvwa';
$_DVWA[ 'db_user' ] = 'deibis';
$_DVWA[ 'db_password' ] = '1234';
luego nos dirigimos a nuestro navegador e ingresamos a phpmyadmin
localhost/phpmyadmin y creamos la base de datos llamada DVWA
Luego nos dirigimos a la pagina de dvwa
localhost/dvwa
Y nos saldrá la siguiente ventana
El usuario y la clave por defecto es usuario: admin
clave: password
y nos saldrá la siguiente ventana
nos vamos hasta lo ultimo y le damos donde dice
create / reset database
luego volvemos a iniciar sección con el usuario y clave por defecto
y nos saldra la siguiente ventana
OK listo una vez ya instalado el DVWA podemos a proceder a realizar pruebas
una parte muy importante es la pestaña de DVWA security, ya que hay nos permite elegir el nivel de dificulta para realizar nuestra pruebas.
Tenemos dificulta baja media alta
imposible
nosotros iniciaremos con la baja para realizar unas pequeñas pruebas.
Nos dirigimos a SQL injection que nos ofrece DVWA
DVWA nos ofrece 3 opciones una donde podemos hacer la injection SQL
2 La vista del código y 3 una pequeña ayuda
en la parte de vista de código podemos ver como esta programado para realizar una consulta SQL
ok el primer error que podemos observar es este código es que no esta validando la inserción que realizamos por teclado.
El segundo error es que esta seleccionando los campo de primer nombre y segundo nombre de la tabla usuario pero esto a través de su ID
que pasa si colocamos 1 es nuestra injection SQL
sencillo nos trae en primer nombre y segundo nombre de la tabla usuario
si colocamos 2 es igual
como validar si esto es cierto
sencillo vamos a la base datos DVWA a la tabla user y vemos los usuarios
hay lo tenemos ID 1 es admin
ID 2 es gordon
que nos ofrece la pestaña de ayuda
nos da una breve descripción y su ves una pequeñas practica en el campo oculto en negro
Simplemente sombree y el te dara la opcion
cuando la insertamos en nuestra injectio SQL nos saldrá lo siguiente
DVWA es una excelente herramienta el cual podemos usar para aprender de la vulnerabilidad que puede presentar nuestro código. El ejemplo que mostré solo es una pequeña cosa con la cual se puede hacer DVWA, ya que tiene muchas funciones y validaciones.
La Libertad del Código es Directamente Proporcional al Desarrollo de una Organización