DVWA

XAMPP

: Apache Friends에서 제공하는 무료 Apache 배포판이며 Apache 웹 서버, MySQL, PHP 등 을 포함한다.

설치 절차

• https://www.apachefriends.org/index.html 에서 XAMPP 다운로드 및 설치

• 아파치 오류 시 Apache Config - > Apache(httpd-ssl.conf)에서 port 443을 모두 8080으로 수정 -> (최우측)Config -> Service and Port Settings -> SSL Port 8080으로 수정

• 'error: Cannot create file "C\xampp\xampp-control.ini". 액세스가 거부되었습니다.' 메세지창 뜨면

  • C:\xampp 폴더 xampp-control.ini 속성 -> 보안 - 그룹 또는 사용자 -> Everyone 편집 -> 읽기, 쓰기 허용 후 확인

DVWA

: Damn Vulnerable Web Application의 약자로, 의도적으로 취약하게 설계된 PHP/MySQL 웹 애플리케이션이다. 교육 목적으로 만들어진 DVWA는 보안 전문가가 실제 보안 시나리오를 시뮬레이션하고 기술을 향상시키기 위해 다양한 난이도로 일반적인 웹 취약점을 연습할 수 있다.

설치 절차

• https://github.com/digininja/DVWA 에서 DVWA 다운로드 및 압축해제

• DVWA-master의 폴더명을 DVWA으로 수정 후 C:\xampp\htdocs로 이동 -> C:\xampp\htdocs\DVWA\config 의 config.inc.php.dist 파일명을 config.inc.php 로 수정 ↓

• config.inc.php 파일을 열어

\$_DVWA[ 'db_user' ]     = 'dvwa';
\$_DVWA[ 'db_password' ] = 'p@ssw0rd';

위 두 줄을 아래 두 줄과 같이 수정

\$_DVWA[ 'db_user' ]     = 'root';
\$_DVWA[ 'db_password' ] = '';

저장 ↓

• http://localhost/dvwa/setup.php -> Create / Reset Database -> http://localhost/dvwa/login.php 로 이동됨 -> Username : admin, Password : password 로 로그인

오류 수정

PHP function allow_url_include: Disabled

• C:\xampp\php\php.ini → allow_url_include=Off 를 allow_url_include=On 으로 수정 후 저장

PHP module gd: Missing

• C:\xampp\php\php.ini → ;extension=gd 를 extension=gd 로 수정(주석 제거) 후 저장

※ Burp Suite에서 패킷 안 잡힐 시
도메인을 localhost에서 사용 컴퓨터의 사설 ip 주소로 변경

※ 한글 텍스트 깨질 시
크롬확장 프로그램 Set Character Encoding 설치 후 Korean으로 변경

출처
https://github.com/digininja/DVWA
https://newstroyblog.tistory.com/168#google_vignette
https://stackoverflow.com/questions/34274492/dvwa-setup-php-function-allow-url-include-disabled