DVWA網(wǎng)絡(luò)空間安全實驗環(huán)境搭建

劉木友

(廣州華立科技職業(yè)學(xué)院,廣東 廣州 511325)

1 研究背景

1.1 網(wǎng)民與網(wǎng)站規(guī)模

中國互聯(lián)網(wǎng)信息中心發(fā)布的第50次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》指出,截至 2022 年 6 月,我國網(wǎng)民規(guī)模達10.51億,較2021年12月增長1919 萬[1],截至2022年6月,我國網(wǎng)站數(shù)量為398萬個[1],說明互聯(lián)網(wǎng)規(guī)模不斷增大。在網(wǎng)絡(luò)系統(tǒng)漏洞中,Web應(yīng)用最易受到惡意攻擊,影響也最為廣泛[2]。

1.2 人才需求

據(jù)專業(yè)機構(gòu)測算,2020年我國網(wǎng)絡(luò)安全從業(yè)人員需求數(shù)量為155萬人,2027年為327萬人。當(dāng)前培養(yǎng)的網(wǎng)絡(luò)安全人才數(shù)量遠遠不能滿足需求[3],因此表明人才市場對網(wǎng)絡(luò)空間安全技術(shù)人才的需求旺盛。

1.3 法律法規(guī)

作為法定的社會秩序維護者,國家承擔(dān)了主導(dǎo)性的網(wǎng)絡(luò)安全保護義務(wù)[4]。2021年頒布《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》,2022年9月頒布《中華人民共和國反電信網(wǎng)絡(luò)詐騙法》等,網(wǎng)絡(luò)安全相關(guān)法律法規(guī)在日益完善。

2 DVWA概述

DVWA(Damn Vulnerable Web Application)是一個非常易受攻擊的PHP/MySQL Web應(yīng)用程序,其主要目的是幫助網(wǎng)絡(luò)空間安全專業(yè)人員在合法環(huán)境下,測試他們的技能和軟硬件工具,幫助教師、學(xué)生在受控的課程環(huán)境中了解和學(xué)習(xí)保護Web應(yīng)用程序安全。DVWA具有Low、Medium、High、Impossible4個安全級別,程序安全級別越低,說明系統(tǒng)越容易被攻破。DVWA擁有Brute Force、Command Injection、CSRF、File Inclusion、File Upload、Insecure CAPTCHA、SQL Injection、SQL Injection (Blind)、XSS (Reflected)、XSS (Stored)10個練習(xí)模塊,用戶可以選擇任意模塊進行練習(xí),也可以選擇任意安全級別進行練習(xí),但建議用戶從Low安全級別開始,升級到Impossible級別。

3 DVWA安裝與配置

3.1 本實驗的源碼、軟硬件

(1)DVWA v1.9源碼下載地址。

https://github.com/RandomStorm/DVWA/archi ve/master.zip

(2)軟件:Windows10操作系統(tǒng)64位、集成開發(fā)環(huán)境WampServer3.1.3_x64、虛擬機VMware-workstation 16.2.3、谷歌瀏覽器Google Chrome。

(3)硬件:Intel Core i5-8300 2.30 GHz處理器,8 GB內(nèi)存,500 GB硬盤。

3.2 安裝與配置

軟件安裝如下,本實驗分為主機和靶機,主機安裝Windows10和谷歌瀏覽器,在主機上安裝虛擬機VMware,并在其上安裝Windows10作為靶機,在靶機上安裝WampServer服務(wù)器。本實驗中WampServer安裝在靶機C:根目錄下,并把DVWA-master.zip解壓文件名修改為DVWA,放置在靶機C:wamp64www文件夾中。

具體操作步驟如下:

(1)在主機安裝虛擬機VMware,在其中安裝Windows10作為靶機,確認靶機Windows10正常運行。

在VMware安裝Windows10的操作流程,請參考相關(guān)文獻。虛擬機關(guān)鍵配置如下:內(nèi)存2 GB,處理器數(shù)量2,硬盤60 GB,網(wǎng)絡(luò)適配器NAT模式(用于共享主機的IP地址)。

(2)在靶機Windows10中安裝WampServer,確認可正常運行。

在靶機中安裝WampServer作為服務(wù)器,在安裝WampServer之前,建議Windows10先安裝“微軟常用運行庫合集”,它可以解決操作系統(tǒng)沒有安裝VC++運行庫或者安裝的版本不完整問題,否則會導(dǎo)致WampServer軟件啟動時報錯,操作系統(tǒng)提示缺少庫文件。如本實驗中安裝WampServer可能會提示找不到MSVCR120.dll,MSVCP120.dll系統(tǒng)錯誤。安裝WampServer的操作流程,請參考相關(guān)文獻。在靶機瀏覽器中打開網(wǎng)址:http://127.0.0.1/,可看到WampServer歡迎界面,說明WampServer安裝成功。

WampServer安裝成功后,需要為DVWA成功運行解決兩個問題。

問題1:PHP版本問題。在實訓(xùn)環(huán)節(jié),由于DVWA的編程是用低版本的PHP語言,而WampServer服務(wù)是高版本的PHP語言,版本不同會導(dǎo)致用戶在使用DVWA系統(tǒng)時,PHP函數(shù)在執(zhí)行過程顯示錯誤。如在Medium安全級別,練習(xí)“SQL Injection”模塊,會顯示“ Deprecated: Function mysql_numrows() is deprecated in C:wamp64wwwDVWAvulnerabilitiessqlisourcemedium.php on line 13”。為了有更好的練習(xí)體驗,提供如下解決方法,在靶機用鼠標(biāo)左擊桌面右下角WampServer的綠色圖標(biāo),在彈出的對話框中,依次選擇[PHP]-->[php.ini],在彈出的記事本文件中修改參數(shù)display_errors=On為display_errors=Off。然后,重新啟動WampServer所有服務(wù),使設(shè)置生效。

問題2:中文亂碼問題。在DVWA系統(tǒng)進行Command Injection命令練習(xí)時,會出現(xiàn)中文亂碼問題,解決步驟如下:①在靶機DVWA安裝目錄下(.../www/DVWA/dvwa/includes)尋找文件dvwaPage.inc。②用記事本軟件打開此文件,然后全文替換所有編碼格式“utf-8”為“gb2312”,替換成功后保存文件。注意:此文件有多個utf-8,要全部修改成gb2312。③重新啟動WampServer所有服務(wù),此后DVWA就不會出現(xiàn)中文亂碼。

(3)確認DVWA可以在靶機WampServer中正常登錄。

把解壓并重命名為DVWA的源代碼文件,放置在靶機C:wamp64www下,并進行如下關(guān)鍵配置。

3.3 配置DVWA鏈接數(shù)據(jù)庫配置文件

用記事本軟件打開DVWA/config文件夾下config.inc.php,將config.inc.php文件中的$_DVWA[ 'db_password' ] 的值修改為空,因為WampServer中MySQL數(shù)據(jù)庫的默認密碼為空。設(shè)置參數(shù)如下所示:

$_DVWA[ 'db_server' ]='127.0.0.1';

$_DVWA[ 'db_database' ]='dvwa' ;

$_DVWA[ 'db_user' ] ='root';

$_DVWA[ 'db_password' ]='';

3.4 創(chuàng)建或重置數(shù)據(jù)庫

在靶機瀏覽器中打開網(wǎng)址:http://127.0.0.1/dvwa/setup.php,設(shè)置數(shù)據(jù)庫,只需單擊主菜單中的“Setup DVWA”按鈕,然后單擊子頁面中的“Create/Reset Database”按鈕。創(chuàng)建數(shù)據(jù)庫并導(dǎo)入數(shù)據(jù)庫基礎(chǔ)數(shù)據(jù)如圖1所示。

3.5 確認DVWA可以在靶機WampServer中正常登錄

在靶機谷歌瀏覽器地址欄中輸入http://127.0.0.1/dvwa/login.php,輸入默認登錄用戶名admin和密碼password,如圖2所示。

圖2 登錄界面

正確登錄后,DVWA歡迎界面如圖3所示。

至此,DVWA系統(tǒng)在靶機環(huán)境下可正常運行,接下來需要解決主機和靶機之間的網(wǎng)絡(luò)通信問題。

3.6 確認主機可正常訪問靶機DWWA

在搭建主機和靶機實訓(xùn)環(huán)境時,會遇到兩個問題。

問題1:主機與靶機之間的網(wǎng)絡(luò)是否暢通。

在靶機中打開命令提示符,輸入ipconfig命令,查看靶機IP地址。如本實驗中靶機IP地址為:192.168.163.159,各個實訓(xùn)環(huán)境下的IP地址會不同,以實際IP地址為準。在主機的命令提示符界面ping靶機IP地址,如本實驗中ping 192.168.163.159。如果主機與靶機之間的網(wǎng)絡(luò)不通,顯示“請示超時”“數(shù)據(jù)包丟失”等信息。解決方案:(1)檢查并設(shè)置靶機虛擬機網(wǎng)絡(luò)適配器為NAT模式。(2)主機或靶機的防火墻問題,建議關(guān)閉靶機防火墻。在靶機Windows10中“控制面板系統(tǒng)和安全Windows Defender 防火墻自定義設(shè)置”下,在“專用網(wǎng)絡(luò)設(shè)置”和“公用網(wǎng)絡(luò)設(shè)置”中都選擇“關(guān)閉Windows Defender 防火墻”。

問題2:主機是否有權(quán)限訪問靶機WampServer中的DVWA系統(tǒng)。

在主機谷歌瀏覽器地址欄中輸入靶機地址:192.168.163.159,瀏覽器反饋“Forbidden You don’t have permission to access/on this server.”這是由于靶機服務(wù)器不允許外界訪問所導(dǎo)致的問題。解決方法:步驟1,用鼠標(biāo)左擊靶機桌面右下角WampServer的綠色圖標(biāo),在彈出的對話框中,依次選擇[Apache]-->[httpd.conf],在彈出的記事本文件中修改參數(shù)Require local為Require all granted。步驟2,用鼠標(biāo)左擊靶機桌面右下角WampServer的綠色圖標(biāo),在彈出的對話框中,依次選擇[Apache]-->[httpd-vhosts.conf],在彈出的記事本文件中修改參數(shù)Require local為Require all granted。步驟3,重新啟動WampServer所有服務(wù)。在主機瀏覽器中輸入靶機地址192.168.163.159,可正常訪問靶機的主頁,再輸入地址192.168.163.159/dvwa,可正常訪問dvwa界面,如圖3所示。至此,所有設(shè)置已完成。

4 結(jié)語

本文以DVWA Web應(yīng)用程序的實驗實訓(xùn)環(huán)境要求出發(fā),配置主機和靶機服務(wù)器軟硬件參數(shù)以及它們之間網(wǎng)絡(luò)通信,并分析配置過程中遇到的問題并提供解決方案。經(jīng)實訓(xùn)室實驗證明,本文配置的實訓(xùn)參數(shù)不僅可用于單機的主機和靶機虛擬機配置,也可用于實訓(xùn)室中服務(wù)器與學(xué)生PC機配置。高職計算機專業(yè)學(xué)生注重實操能力培養(yǎng),相當(dāng)數(shù)量的程序員在編寫代碼的時候,沒有充分考慮對用戶提交數(shù)據(jù)進行安全檢查,使應(yīng)用程序存在安全隱患[5]。本研究期望通過DVWA網(wǎng)絡(luò)空間安全平臺有助于提高學(xué)生編寫程序代碼的嚴謹性和技能,也有助于學(xué)生參加網(wǎng)絡(luò)空間安全工程職稱申報工作。