안녕하세요. 오늘은 모의해킹을 원하는 해린이(?)를 위해 실습할 수 있는 사이트를 공유하고자 합니다. 해킹에는 웹해킹, 모바일 해킹 등이 있지만, 가장 기본인 웹해킹을 실습해볼 수 있어서 사이트는 좋습니다.
1. DVWA란?
- PHP/MySQL 기반의 취약한 웹 애플리케이션
- 웹 보안 학습과 모의해킹 실습을 위한 환경 제공
- 다양한 난이도(Low, Medium, High)로 실습 가능
- 합법적인 환경에서 해킹 기술 학습 가능
2. 설치 환경
- OS: Ubuntu (리눅스)
- 필요한 패키지: Apache2, MySQL, PHP
- 가상머신 환경 권장 (보안상의 이유)
3. 설치 과정
3.1 필수 패키지 설치
sudo apt updatesudo apt install apache2 mysql-server php8.3 php8.3-mysql php8.3-gd libapache2-mod-php8.3 git3.2 MySQL 설정
sudo mysql
CREATE DATABASE dvwa;
CREATE USER 'dvwa'@'localhost' IDENTIFIED BY 'p@ssw0rd';
CREATE USER 'dvwa'@'127.0.0.1' IDENTIFIED BY 'p@ssw0rd';
GRANT ALL PRIVILEGES ON dvwa. TO 'dvwa'@'localhost';
GRANT ALL PRIVILEGES ON dvwa. TO 'dvwa'@'127.0.0.1';
FLUSH PRIVILEGES;3.3 DVWA 다운로드 및 설정
cd /var/www/html
sudo git clone https://github.com/digininja/DVWA.git
sudo mv DVWA dvwa
cd dvwa
sudo cp config/config.inc.php.dist config/config.inc.php3.4 PHP 설정 수정
sudo nano /etc/php/8.3/apache2/php.ini다음으로 설정 변경해야합니다.
allow_url_fopen = On
allow_url_include = On
만약 apache2를 바꿨는데도 안된다면, cli 부분을 확인해보세요.
3.5 권한 설정
sudo chown -R www-data:www-data /var/www/html/dvwa
sudo chmod -R 755 /var/www/html/dvwa
sudo chmod 777 /var/www/html/dvwa/hackable/uploads/
sudo chmod 666 /var/www/html/dvwa/config/config.inc.php4. 발생했던 문제들과 해결방법
- PHP 버전 관련 이슈 (8.3 버전 사용)
- MySQL 사용자 권한 문제
- Apache 재시작 명령어 오류
- PHP 설정 변경 후 적용 문제
5. DVWA 사용하기
- 접속: http://localhost/dvwa
- 기본 로그인 정보: admin / password
- 보안 레벨 설정 방법
- 각종 취약점 실습 메뉴 소개
모든 설정과 권한을 부여한 후, 도메인에 해당 주소를 입력하면 이렇게 떠야 정상입니다. 만약 흰색창이나 에러메세지가 뜨시면 다시 문제해결을 해야합니다..
6. 주의사항
- 로컬 환경에서만 실습할 것
- 실제 서버에 설치하지 말 것
- 교육 목적으로만 사용할 것
- 학습한 내용을 악의적으로 사용하지 말 것
(굳이..안그러졌죠?)
7. 앞으로의 학습 계획
- SQL Injection 실습
- XSS 취약점 테스트
- 파일 업로드 취약점
- 기타 웹 보안 실습
SQL injection을 살짝 실습해봤는데요. 잘 되더군요. 흥미로웠습니다...
코딩에 빠짐