Je eigen Damn Vuln Web App opzetten
Development PHP Hacking

Je eigen Damn Vuln Web App opzetten

Wat is DVWA?

Damn Vulnerable Web App (DVWA) is een PHP/MySQL web applicatie die verdomd vulnerable is. Het doel van deze applicatie is om security professionals te helpen om hun skillset en tools in een legale omgeving te testen te helpen verbeteren. Ook helpt DVWA web developers om het proces van het beveiligen van web applicaties beter te kunnen begrijpen. Daarnaast helpt DVWA ook om docenten en studenten om web security in een veilige omgeving uit te leggen en te begrijpen. Je kan dus volledig legaal oefenen met een hele lijst aan security issues om je skills te testen, te verbeteren of bij te houden.

Lijst vulns die er in zitten:

  • Brute force
  • Command injection
  • Cross Site Request Forgery
  • File inclusion
  • File upload
  • Insecure CAPTCHA
  • (Blind) SQL injction
  • Weak session ID’s
  • XSS (DOM)
  • XSS (Reflected)
  • XSS (Stored)
  • CSP Bypass
  • En nog vele andere

Het opzetten van DVWA

Het opzetten van DVWA is erg simpel, het enige wat nodig is om DVWA werkend te krijgen is docker. Het is ook mogelijk om DVWA zonder docker te draaien. Klik hier om naar de instructies te gaan om DVWA zonder docker op te zetten. Door gebruik te maken van docker hoef je echter maar één commando uit te voeren om je DVWA op te zetten: docker run --rm -it -p 80:80 vulnerables/web-dvwa

LET OP! 
Deze software is met opzet zo gemaakt dat er security issues zijn. 
Zorg er dan ook voor dat je dit NOOIT openbaar beschikbaar stelt.

Hiermee start je de DVWA app op en zorg je dat je er via poort 80 bij kan. Na het draaien van bovenstaand commando kun je naar http://localhost/setup.php. Als je vervolgens op Create / Reset Database klikt zal de database worden ge-reset en kun je aan de slag. Dit kun je ook gebruiken als je ‘per ongeluk’ je database hebt ge-dropt tijdens het uitvoeren van een SQL injectie.

De standaard log-in gegevens om in te loggen zijn uiteraard extreem veilig. Username: admin. Password: password.

Je kan nadat je bent ingelogged ook het security level aanpassen om het jezelf moeilijker (of makkelijker) te maken. Deze kan je aanpassen onder DVWA Security of door naar http://localhost/security.php te gaan. Ook kan je op deze pagina een uitleg vinden van wat elk level inhoud.

Door het level naar low aan te passen zal er geen enkele beveiliging actief zijn, ideaal als je net begint of gewoon even wat wilt testen!

Zo kan je in verschillende modules zonder enige moeite kijken hoe het werkt en waarom iets wel of juist niet werkt. Als je echt een uitdaging wilt is er een impossible moeilijkheidsgraad. Op dit niveau zou er geen enkel beveiligingslek moeten zijn..

Happy Hacking!

Github repository