这是一个学习 SQL 注入好的平台,供大学练习学习。DVWA (Dam Vulnerable Web
Application)DVWA 是用 PHP+Mysql 编写的一套用于常规 WEB 漏洞教学和检测的 WEB 脆
弱性测试程序。包含了 SQL 注入、XSS、盲注等常见的一些安全漏洞。具体参考 Web 漏洞
实战教程(DVWA 的使用).pdf。
DVWA 系统默认是不允许非 localhost 地址访问的,所以假如使用另外一台电脑访问
(使用暴力工具),请先修改 c:\wamp\www\dvwa\.htaccess,把 allow from 127.0.0.1 变成
allow from all。
接下来是暴力破解
环境搭建好了,现在开始安装暴力破解工具,数据库或者漏洞扫描的就不说了,下面
说说 web 帐户密码破解,安装并使用 burpsuite_pro_v1.4.07+.jar 工具,由于这个工具用到了
JDK,所以需要安装 JDK 或者用绿色版本的,这里我采用绿色版本(其实安装后把安装好
的拷贝出来就可以了)。把 jdk1.6.0_26.rar 解压到 C 盘,解压 burpsuite.rar 到某个地址,然
后编辑 suite.bat,修改成
C:\jdk1.6.0_26\bin\java -jar -Xmx1g burpsuite_pro_v1.4.07+.jar
Pause
然后双击 suite.bat 文件即可运行,如下图所示:
评论1