基于DVWA平臺的滲透測試教學探索與實踐

容健昌

關鍵詞：DVWA；滲透測試；Web安全；靶機

DVWA全稱為Damn Vulnerable Web Application，其含義是指存在非常嚴重漏洞的一套Web應用。它是基于PHP/MySQL開發的存在嚴重漏洞的Web應用，給專業的安全人員提供一個合法的滲透測試運行環境，以測試他們的工具和技能。同時，通過對它的測試，能夠幫助Web開發人員理解Web應用保護的原理及過程。最后，通過該平臺的搭建測試，還可以在課堂中為師生的講解和Web應用安全性教學提供便利。本文是基于DVWA平臺實現滲透測試教學的探索與實踐，其意義在于以實現滲透測試教學環境的角度，將搭建平臺的步驟標準化，從而滿足學生學習滲透測試的條件要求。

1DVWA的滲透測試環境配置簡介

1.1Phpstudy簡介

Phpstudy是一個Web應用，其集成了Apache、PHP語言開發、MySQL數據庫，能夠以最為簡單的構建方式和簡潔的界面給用戶呈現出一般性Web服務器的運行環境。DVWA的運行需要安裝一個Web服務器，PHP開發環境，MySQL數據庫。針對計算機專業的學生來說，若要配置好的Web服務器，則需要有較為系統性的知識儲備，而較為簡單的方法就是下載并安裝Phpstudy。使用Phpstudy可以簡單地在Linux，Solaris，Windows和Mac OS X上模擬基于PHP的Web服務器環境。這個安裝包包含Apache Web服務器，MySQL，PHP。現實中，人們可以通過其發行的官方網站https：//www. xp. cn進行下載Phpstudy. zip，選擇合適的版本進行安裝即可。本文采用的是Phpstudy 18 Windows版本。通過Phpstudy的簡易安裝，可以省去復制Web應用服務器環境的配置，適合大多數計算機專業的學生進行獨立環境的配置，并簡化了師生的配置流程。在高校多年實驗教學中，使用Phpstudy進行簡單Web應用服務器的環境搭建，能夠滿足一般性中型網站服務器的部署，以及將真實的Web應用服務器轉變成高校網絡安全滲透測試的實驗室環境。

1.2DVWA簡介

人們在學習網絡安全滲透技術時，需要對實驗環境進行各種技術、工具的測試，但隨著近年來網絡安全法規的逐步健全，這樣的測試環境已經不能隨便讓人使用，為了能夠較為真實地學習Web滲透的各種技術，就需要找一個專門用于學習的Web演練平臺，并將這種用于練習滲透的平臺稱為“靶場”。DVWA是一個人門級別的Web安全學習靶場（包含暴力破解，命令注入，文件包含，文件上傳，不安全的驗證碼，SQL注入，跨站腳本，XSS等），通過簡單的配置，就能夠提供模擬滲透測試方面的學習[1]。

準確來說，DVWA是一個Web應用集成，它集成了PHP語言開發和MySQL數據庫相關軟件，能夠以最為快捷、簡單的方式為用戶構建出一個充滿嚴重漏洞的Web服務器的運行環境。DVWA可以進行SQL注入、XSS、CSRF、文件上傳等漏洞的演練，由于該系統提供了多個安全演練級別，因此其可以逐步提高Web滲透技術。DVWA是一套開源的系統，在練習Web滲透技術的同時，也可以通過閱讀源碼學習對于各種漏洞的安全防護編碼。

2基于DVWA平臺的滲透測試環境的配置

2.1Web應用服務器環境搭建

隨著我國信息技術的發展和網絡安全事件頻發，網絡信息安全專業已成為我國很多高校開設的基礎性專業，其適合于高等院校網絡信息安全專業方向的學生學習與使用。在高校學生進行配置網絡安全滲透測試環境實驗過程中，由于他們學習的計算機專業方向有所區別，因此其學習網絡安全知識的側重點有所不同，從而導致他們配置出的實驗結果差異較大。專業指導教師需按照高校自建計算機實驗室的運行條件，結合Phpstudy和DVWA兩個軟件進行網絡安全滲透測試實驗配置，將實驗正確的步驟與現有靶機軟件組成工作結合，才能夠有效展示出網絡安全滲透測試實驗配置真實水平，最大程度地將實際網絡環境中的Web應用服務網站進行還原。在制定及搭建普適性Web應用服務器的真實運行環境時，要結合網絡安全滲透測試的具體應用場景與要求[2]。因此在設計本次搭建網站滲透測試實驗配置項目時，需要對項目設計中所涉及的Phpstudy，DVWA和服務器等設備配置及其相關的滲透測試實驗項目要求進行配置需求分析，形成統一的標準配置方案，以提升實驗環境搭建的成功率，并在以后的網絡安全滲透測試實驗中形成一套標準流程。

在高校Web應用安全實驗室中，專業教師可以指導學生在實驗室中進行安裝、配置滲透測試環境，由于過程配置較為簡單，專業教師可以在上課期間，對照整理好的安裝、配置流程圖，指導學生一步一步實踐。鼠標雙擊已經下載好的Phpstudy軟件，按照安全提示，選擇安裝途徑即可完成環境軟件的安裝，正常啟動后，就能正常打開Web應用服務器，為用戶提供Web服務。

2.2Web應用服務器配置

完成Web應用服務器環境搭建后，需要將DVWA復制到phpStudy的WWW子目錄下，并將文件修改為可編輯的php文件，然后用文本格式打開，將該配置文件中與數據庫相關的參數修改為與Phpstudy對應的用戶和密碼一致的root，在配置過程中，應按照全局規劃、有序配置規則進行，以形成配置的標準化和流程化，從而避免重復配置或遺漏配置等問題，達到提升實驗配置質量水平的目的。

3基于XSS的模擬攻擊實驗流程分析

3.1XSS概述

跨站點腳本（ XSS）漏洞是網站上最常見的可利用漏洞。由于缺乏輸入數據清理，XSS漏洞普遍存在于各大網站。XSS攻擊涉及三個實體：攻擊者、受害者、脆弱網站或Web應用程序[3]。攻擊產生的本質原因在于脆弱網站的一個HTML頁面上有一個可以返回用戶輸入的腳本，而該腳本并不對用戶的輸入進行任何審查，這就使得攻擊者可以在其中輸入JavaScript代碼，并由受害者的瀏覽器執行。因此，其有可能構造一個指向該脆弱網站的鏈接，該鏈接中的一個參數就是惡意JavaScript代碼。這個JavaScript代碼將在打開的脆弱網站環境中由受害者的瀏覽器執行，使攻擊者訪問受害者關于脆弱網站的cookie。DVWA是一個分安全等級，以及存在嚴重安全漏洞的Web應用服務器的靶機，通過設置其安全等級，可以將XSS漏洞盡可能地顯示出來，以便在實驗室進行滲透測試過程中，讓學生親自體驗該攻擊行為的全過程。

3.2修改DVWA安全等級

啟動PHPStudy后，就可以在瀏覽器上輸入http：//127.0.0. 1/dvwa進行登錄，錄入默認的用戶名admin和密碼password后，進入搭建好的DVWA靶場[4]。由于靶場為了適應不同技術等級的人員使用，整個靶場的安全級別設置為四個級別，為了簡單測試滲透測試的實戰作用，本文選擇最低安全級別來演示，具體安全等級設置如圖1所示。

在DVWA靶機右側的菜單項，選中DVWASecurity后，在后側的安全級別中選擇LOW級別，再進行確認就可以將靶機的安全級別設為最低級別，以便入門級用戶進行安全滲透測試實驗。

配置完安全級別后，就可以開始模擬滲透測試實驗。選擇反射性跨網站攻擊，在右側的菜單欄中選擇XSS（Reflected）后，在輸入框中輸入簡單的腳本語句后，點擊確認，完成攻擊。結果顯示，通過在輸入框中錄入腳本語句，并在Web應用程序沒有對輸入語句進行審查的環境下，靶機的瀏覽器完全執行了用戶錄入的非法代碼，從而驗證了該網站存在驗證的跨網站腳本攻擊漏洞。該攻擊行為雖然簡單易用，但通過實驗，給學生帶來很直觀的滲透測試實驗體驗，并具體闡述了典型的Web應用網站遭遇XSS攻擊的整個工作原理和流程。

3.3結果性測試

結果性測試也是基于DVWA平臺實現滲透測試教學配置最為重要的一項任務，只有按照整個實驗環境進行搭建，并對服務器的基本配置和安全等級進行設定，才能更加流程化地完成網絡安全滲透測試實驗步驟。在進行DVWA平臺實現滲透測試教學配置實驗之前，需要將整體環境配置流程化和標準化，將實驗的結果進行量化，標識出的每項結果需要達到預期目標，對結果進行普適性分析，并列出滿足實驗目的各項指標，以檢測測試結果是否符合設定流程以及是否實現實驗的各項技術指標。在滲透測試過程中，通過對靶機平臺的構建，明確學生需要完成的滲透測試任務，并給出滲透測試的目的和結果，讓學生按照標準化流程和任務點，對靶機進行各種類型的安全滲透測試（如XSS、暴力破解，命令注入，文件包含，文件上傳，不安全的驗證碼，SQL注入等），通過各種類型Web應用程序的漏洞測試，能夠讓學生從實驗結果中反思漏洞的基本原理，從而更好地提升課堂教學效果。而在本次基于DVWA平臺實現滲透測試教學的探索與實踐中，只要充分利用現在高校網絡安全實驗室的硬件設施設備，能夠完全滿足各種類型的Web應用程序滲透測試的教學要求，通過讓學生獨立完成各種實驗，以實現提升學生實操動手能力的教學目標。

4結束語

在基于DVWA平臺實現滲透測試教學的探索與實踐實驗中，主要從網絡安全滲透測試實驗設計目的、配置步驟、實驗要求和配置分析以及實驗結果分析等多方面對基于DVWA平臺實現滲透測試教學的探索與實踐實驗進行了分析，從綜述角度來看，在高校現有的網絡安全實驗環境中，使用Phpstudy和DVWA進行網絡安全滲透測試平臺搭建時，應該明確環境搭建中的各項配置任務的指標和要求，并且明確環境搭建目的及要求、配置過程配置標準、滲透測試效果可測量，這樣才能夠準確、科學地突出使用Web應用服務器靶機進行實驗的特性，進而有效地為網絡安全滲透測試配置奠定基礎，提升滲透測試實驗配置水平。