admin管理员组文章数量:1531305
2024年6月5日发(作者:)
第14期
2023年7月
无线互联科技
WirelessInternetTechnology
No.14
July,2023
DVWA网络空间安全实验环境搭建
摘要:Web技术在电商、保险、传媒、金融等领域得到广泛的应用。网络的开放性和经济利益的驱动,
导致一些新的网络空间安全风险出现,增加了网络空间安全人才的需求。文章从DVWA
Web应用程
序的实验实训环境要求出发,配置主机和靶机服务器软硬件参数以及网络通信,分析配置过程中遇到
的问题并提供解决方案。
关键词:网络安全;DVWA;入侵与防范;漏洞;Web应用程序
中图分类号:TN915 文献标志码:A
(广州华立科技职业学院,广东
广州
511325)
刘木友
1 研究背景
1.1 网民与网站规模
中国互联网信息中心发布的第50次《中国互联
网络发展状况统计报告》指出,截至
2022
年
6
月,我
国网民规模达10.51亿,较2021年12月增长1919
万
[1]
,截至2022年6月,我国网站数量为398万
个
[1]
,说明互联网规模不断增大。在网络系统漏洞
中,Web应用最易受到恶意攻击,影响也最为广泛
[2]
。
1.2 人才需求
据专业机构测算,2020年我国网络安全从业人
员需求数量为155万人,2027年为327万人。当前培
养的网络安全人才数量远远不能满足需求
[3]
,因此表
明人才市场对网络空间安全技术人才的需求旺盛。
1.3 法律法规
作为法定的社会秩序维护者,国家承担了主导性
的网络安全保护义务
[4]
。2021年颁布《中华人民共
和国数据安全法》《中华人民共和国个人信息保护
法》,2022年9月颁布《中华人民共和国反电信网络
诈骗法》等,网络安全相关法律法规在日益完善。
2 DVWA概述
DVWA(DamnVulnerableWebApplication)是一
个非常易受攻击的PHP/MySQL
Web应用程序,其
主要目的是帮助网络空间安全专业人员在合法环境
下,测试他们的技能和软硬件工具,帮助教师、学生
在受控的课程环境中了解和学习保护Web应用程
序安全。DVWA具有Low、Medium、High、
Impossible4个安全级别,程序安全级别越低,说明系
统越容易被攻破。DVWA拥有Brute
Force、Command
Injection、CSRF、FileInclusion、FileUpload、Insecure
CAPTCHA、SQLInjection、SQLInjection(Blind)、XSS
(Reflected)、XSS(Stored)10个练习模块,用户可以
选择任意模块进行练习,也可以选择任意安全级别进
行练习,但建议用户从Low安全级别开始,升级到
Impossible级别。
3 DVWA安装与配置
3.1 本实验的源码、软硬件
(1)DVWAv1.9源码下载地址。
/RandomStorm/DVWA/archi
ve/
(2)软件:Windows10操作系统64位、集成开发
环境WampServer3.1.3_x64、虚拟机VMware
-
workstation16.2.3、谷歌浏览器GoogleChrome。
(3)硬件:IntelCorei5
-
83002.30GHz处理器,
8GB内存,500GB硬盘。
3.2 安装与配置
软件安装如下,本实验分为主机和靶机,主机安
装Windows10和谷歌浏览器,在主机上安装虚拟机
VMware,并在其上安装Windows10作为靶机,在靶机
上安装WampServer服务器。本实验中WampServer
安装在靶机C:根目录下,并把DVWA
-
解
压文件名修改为DVWA,放置在靶机C:wamp64
www文件夹中。
具体操作步骤如下:
(1)在主机安装虚拟机VMware,在其中安装
Windows10作为靶机,确认靶机Windows10正常
运行。
在VMware安装Windows10的操作流程,请参考
相关文献。虚拟机关键配置如下:内存2
GB,处理器
数量2,硬盘60
GB,网络适配器NAT模式(用于共享
主机的IP地址)。
(2)在靶机Windows10中安装WampServer,确认
可正常运行。
在靶机中安装WampServer作为服务器,在安装
WampServer之前,建议Windows10先安装“微软常用
运行库合集”,它可以解决操作系统没有安装VC
++
运行库或者安装的版本不完整问题,否则会导致
WampServer软件启动时报错,操作系统提示缺少库
文件。如本实验中安装WampServer可能会提示找不
作者简介:刘木友(1984—
),男,广东云浮人,高级工程师,学士;研究方向:Web程序设计,网络空间安全,
数据库。
Copyright©博看网. All Rights Reserved.
—138—
第14期
2023年7月无线互联科技·网络互联
No.14
July,2023
到,系统错误。安装
WampServer的操作流程,请参考相关文献。在靶机
浏览器中打开网址:127.0.0.1/,可看到
WampServer欢迎界面,说明WampServer安装成功。
WampServer安装成功后,需要为DVWA成功运
行解决两个问题。
问题1:PHP版本问题。在实训环节,由于
DVWA的编程是用低版本的PHP语言,而
WampServer服务是高版本的PHP语言,版本不同会
导致用户在使用DVWA系统时,PHP函数在执行过
程显示错误。如在Medium安全级别,练习“SQL
Injection”模块,会显示“Deprecated:Functionmysql_
numrows()isdeprecatedinC:wamp64wwwDVWA
ine13”。
为了有更好的练习体验,提供如下解决方法,在靶机
用鼠标左击桌面右下角WampServer的绿色图标,在
弹出的对话框中,依次选择[PHP]
--
>[],在
弹出的记事本文件中修改参数display_errors
=
On为
display_errors
=
Off。然后,重新启动WampServer所有
服务,使设置生效。
问题2:中文乱码问题。在DVWA系统进行
CommandInjection命令练习时,会出现中文乱码问
题,解决步骤如下:①在靶机DVWA安装目录下
(.../www/DVWA/dvwa/includes)寻找文件
。②用记事本软件打开此文件,然后全
文替换所有编码格式“utf
-
8”为“gb2312”,替换成功
后保存文件。注意:此文件有多个utf
-
8,要全部修改
成gb2312。③重新启动WampServer所有服务,此后
DVWA就不会出现中文乱码。
(3)确认DVWA可以在靶机WampServer中正常
登录。
把解压并重命名为DVWA的源代码文件,放置
在靶机C:wamp64www下,并进行如下关键配置。
3.3 配置DVWA链接数据库配置文件
用记事本软件打开DVWA/config文件夹下
,将文件中的$_DVWA
['db_password']
的值修改为空,因为WampServer中
MySQL数据库的默认密码为空。设置参数如下所示:
$_DVWA['db_server']
=
'127.0.0.1';
$_DVWA['db_database']
=
'dvwa';
$_DVWA['db_user']
=
'root';
$_DVWA['db_password']
=
'';
3.4 创建或重置数据库
在靶机浏览器中打开网址:127.0.0.1/
dvwa/,设置数据库,只需单击主菜单中的
“SetupDVWA”按钮,然后单击子页面中的“Create/
ResetDatabase”按钮。创建数据库并导入数据库基础
数据如图1所示。
图1 创建/重置数据库
图2 登录界面
3.5 确认DVWA可以在靶机WampServer中正常
登录
在靶机谷歌浏览器地址栏中输入
127.0.0.1/dvwa/,输入默认登录用户名
admin和密码password,如图2所示。
正确登录后,DVWA欢迎界面如图3所示。
至此,DVWA系统在靶机环境下可正常运行,接
下来需要解决主机和靶机之间的网络通信问题。
3.6 确认主机可正常访问靶机DWWA
在搭建主机和靶机实训环境时,会遇到两个
问题。
问题1:主机与靶机之间的网络是否畅通。
在靶机中打开命令提示符,输入ipconfig命令,查
看靶机IP地址。如本实验中靶机IP地址为:
192.168.163.159,各个实训环境下的IP地址会不
同,以实际IP地址为准。在主机的命令提示符界面
ping靶机IP地址,如本实验中ping
192.168.163.159。如果主机与靶机之间的网络不
通,显示“请示超时”“数据包丢失”等信息。解决方
案:(1)检查并设置靶机虚拟机网络适配器为NAT模
式。(2)主机或靶机的防火墙问题,建议关闭靶机防
火墙。在靶机Windows10中“控制面板系统和安全
WindowsDefender
防火墙自定义设置”下,在“专用
网络设置”和“公用网络设置”中都选择“关闭
WindowsDefender
防火墙”。
问题2:主机是否有权限访问靶机WampServer中
Copyright©博看网. All Rights Reserved.
—139—
第14期
2023年7月无线互联科技·网络互联
No.14
July,2023
图3 DVWA欢迎界面
的DVWA系统。
在主机谷歌浏览器地址栏中输入靶机地址:
192.168.163.159,浏览器反馈“ForbiddenYoudon’t
havepermissiontoaccess/onthisserver.”这是由于靶
机服务器不允许外界访问所导致的问题。解决方法:
步骤1,用鼠标左击靶机桌面右下角WampServer的绿
色图标,在弹出的对话框中,依次选择[Apache]
--
>
[],在弹出的记事本文件中修改参数
Requirelocal为Requireallgranted。步骤2,用鼠标左
击靶机桌面右下角WampServer的绿色图标,在弹出
的对话框中,依次选择[Apache]
--
>[httpd
-
vhosts.
conf],在弹出的记事本文件中修改参数Requirelocal
为Require
allgranted。步骤3,重新启动WampServer
所有服务。在主机浏览器中输入靶机地址
192.168.163.159,可正常访问靶机的主页,再输入地
址192.168.163.159/dvwa,可正常访问dvwa界面,如
图3所示。至此,所有设置已完成。
4 结语
本文以DVWAWeb应用程序的实验实训环境要
求出发,配置主机和靶机服务器软硬件参数以及它们
之间网络通信,并分析配置过程中遇到的问题并提供
解决方案。经实训室实验证明,本文配置的实训参数
不仅可用于单机的主机和靶机虚拟机配置,也可用于
实训室中服务器与学生PC机配置。高职计算机专业
学生注重实操能力培养,相当数量的程序员在编写代
码的时候,没有充分考虑对用户提交数据进行安全检
查,使应用程序存在安全隐患
[5]
。本研究期望通过
DVWA网络空间安全平台有助于提高学生编写程序
代码的严谨性和技能,也有助于学生参加网络空间安
全工程职称申报工作。
参考文献
[1]CNNIC.第50次中国互联网络发展状况统计报告
[R].北京:中国互联网信息中心,2022.
[2]金涛,霍旭磊,王亚丽.XSS的攻击利用与防护策
略研究[J].网络安全技术与应用,2021(1):14
-
16.
[3]教育部高等学校网络空间安全专业教学指导委
员会.2022年网络安全人才实战能力白皮书攻防实
战能力篇[R].北京:教育部高等学校网络空间安全
专业教学指导委员会,2022.
[4]郭春镇,张慧.我国网络安全法治中的国家能力
研究[J].江海学刊,2021(1):163
-
170,255.
[5]吴斌,刘循.SQL注入攻击及漏洞检测防范技术
[J].网络安全技术与应用,2017(1):76
-
78.
(编辑 王永超)
EstablishmentofDVWAcyberspacesecurityexperimentalenvironment
Abstract
AsWebtechnologyiswidelyusedine
-
commerce insurance media finance andotherfields drivenby
sofacingsomenewcyberspacesecurityrisks which
ntherequirementsoftheexperimentalandtraining
environmentforDVWAWebapplications thisarticleconfiguresthesoftwareandhardwareparametersofthehostand
targetserver aswellasthenetworkcommunicationbetweenthem andanalyzestheproblemsencounteredduringthe
configurationprocessandprovidessolutions.
Keywords
networksecurity DVWA intrusionandprevention loophole Webapplication
LiuMuyou
GuangzhouHualiScienceandTechnologyVocationalCollege Guangzhou511325 China
Copyright©博看网. All Rights Reserved.
—140—
版权声明:本文标题:DVWA_网络空间安全实验环境搭建 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1717597165a588763.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论