DVWA網絡空間安全實驗環境搭建

劉木友

(廣州華立科技職業學院,廣東 廣州 511325)

1 研究背景

1.1 網民與網站規模

中國互聯網信息中心發布的第50次《中國互聯網絡發展狀況統計報告》指出,截至 2022 年 6 月,我國網民規模達10.51億,較2021年12月增長1919 萬[1],截至2022年6月,我國網站數量為398萬個[1],說明互聯網規模不斷增大。在網絡系統漏洞中,Web應用最易受到惡意攻擊,影響也最為廣泛[2]。

1.2 人才需求

據專業機構測算,2020年我國網絡安全從業人員需求數量為155萬人,2027年為327萬人。當前培養的網絡安全人才數量遠遠不能滿足需求[3],因此表明人才市場對網絡空間安全技術人才的需求旺盛。

1.3 法律法規

作為法定的社會秩序維護者,國家承擔了主導性的網絡安全保護義務[4]。2021年頒布《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》,2022年9月頒布《中華人民共和國反電信網絡詐騙法》等,網絡安全相關法律法規在日益完善。

2 DVWA概述

DVWA(Damn Vulnerable Web Application)是一個非常易受攻擊的PHP/MySQL Web應用程序,其主要目的是幫助網絡空間安全專業人員在合法環境下,測試他們的技能和軟硬件工具,幫助教師、學生在受控的課程環境中了解和學習保護Web應用程序安全。DVWA具有Low、Medium、High、Impossible4個安全級別,程序安全級別越低,說明系統越容易被攻破。DVWA擁有Brute Force、Command Injection、CSRF、File Inclusion、File Upload、Insecure CAPTCHA、SQL Injection、SQL Injection (Blind)、XSS (Reflected)、XSS (Stored)10個練習模塊,用戶可以選擇任意模塊進行練習,也可以選擇任意安全級別進行練習,但建議用戶從Low安全級別開始,升級到Impossible級別。

3 DVWA安裝與配置

3.1 本實驗的源碼、軟硬件

(1)DVWA v1.9源碼下載地址。

https://github.com/RandomStorm/DVWA/archi ve/master.zip

(2)軟件:Windows10操作系統64位、集成開發環境WampServer3.1.3_x64、虛擬機VMware-workstation 16.2.3、谷歌瀏覽器Google Chrome。

(3)硬件:Intel Core i5-8300 2.30 GHz處理器,8 GB內存,500 GB硬盤。

3.2 安裝與配置

軟件安裝如下,本實驗分為主機和靶機,主機安裝Windows10和谷歌瀏覽器,在主機上安裝虛擬機VMware,并在其上安裝Windows10作為靶機,在靶機上安裝WampServer服務器。本實驗中WampServer安裝在靶機C:根目錄下,并把DVWA-master.zip解壓文件名修改為DVWA,放置在靶機C:wamp64www文件夾中。

具體操作步驟如下:

(1)在主機安裝虛擬機VMware,在其中安裝Windows10作為靶機,確認靶機Windows10正常運行。

在VMware安裝Windows10的操作流程,請參考相關文獻。虛擬機關鍵配置如下:內存2 GB,處理器數量2,硬盤60 GB,網絡適配器NAT模式(用于共享主機的IP地址)。

(2)在靶機Windows10中安裝WampServer,確認可正常運行。

在靶機中安裝WampServer作為服務器,在安裝WampServer之前,建議Windows10先安裝“微軟常用運行庫合集”,它可以解決操作系統沒有安裝VC++運行庫或者安裝的版本不完整問題,否則會導致WampServer軟件啟動時報錯,操作系統提示缺少庫文件。如本實驗中安裝WampServer可能會提示找不到MSVCR120.dll,MSVCP120.dll系統錯誤。安裝WampServer的操作流程,請參考相關文獻。在靶機瀏覽器中打開網址:http://127.0.0.1/,可看到WampServer歡迎界面,說明WampServer安裝成功。

WampServer安裝成功后,需要為DVWA成功運行解決兩個問題。

問題1:PHP版本問題。在實訓環節,由于DVWA的編程是用低版本的PHP語言,而WampServer服務是高版本的PHP語言,版本不同會導致用戶在使用DVWA系統時,PHP函數在執行過程顯示錯誤。如在Medium安全級別,練習“SQL Injection”模塊,會顯示“ Deprecated: Function mysql_numrows() is deprecated in C:wamp64wwwDVWAvulnerabilitiessqlisourcemedium.php on line 13”。為了有更好的練習體驗,提供如下解決方法,在靶機用鼠標左擊桌面右下角WampServer的綠色圖標,在彈出的對話框中,依次選擇[PHP]-->[php.ini],在彈出的記事本文件中修改參數display_errors=On為display_errors=Off。然后,重新啟動WampServer所有服務,使設置生效。

問題2:中文亂碼問題。在DVWA系統進行Command Injection命令練習時,會出現中文亂碼問題,解決步驟如下:①在靶機DVWA安裝目錄下(.../www/DVWA/dvwa/includes)尋找文件dvwaPage.inc。②用記事本軟件打開此文件,然后全文替換所有編碼格式“utf-8”為“gb2312”,替換成功后保存文件。注意:此文件有多個utf-8,要全部修改成gb2312。③重新啟動WampServer所有服務,此后DVWA就不會出現中文亂碼。

(3)確認DVWA可以在靶機WampServer中正常登錄。

把解壓并重命名為DVWA的源代碼文件,放置在靶機C:wamp64www下,并進行如下關鍵配置。

3.3 配置DVWA鏈接數據庫配置文件

用記事本軟件打開DVWA/config文件夾下config.inc.php,將config.inc.php文件中的$_DVWA[ 'db_password' ] 的值修改為空,因為WampServer中MySQL數據庫的默認密碼為空。設置參數如下所示:

$_DVWA[ 'db_server' ]='127.0.0.1';

$_DVWA[ 'db_database' ]='dvwa' ;

$_DVWA[ 'db_user' ] ='root';

$_DVWA[ 'db_password' ]='';

3.4 創建或重置數據庫

在靶機瀏覽器中打開網址:http://127.0.0.1/dvwa/setup.php,設置數據庫,只需單擊主菜單中的“Setup DVWA”按鈕,然后單擊子頁面中的“Create/Reset Database”按鈕。創建數據庫并導入數據庫基礎數據如圖1所示。

3.5 確認DVWA可以在靶機WampServer中正常登錄

在靶機谷歌瀏覽器地址欄中輸入http://127.0.0.1/dvwa/login.php,輸入默認登錄用戶名admin和密碼password,如圖2所示。

圖2 登錄界面

正確登錄后,DVWA歡迎界面如圖3所示。

至此,DVWA系統在靶機環境下可正常運行,接下來需要解決主機和靶機之間的網絡通信問題。

3.6 確認主機可正常訪問靶機DWWA

在搭建主機和靶機實訓環境時,會遇到兩個問題。

問題1:主機與靶機之間的網絡是否暢通。

在靶機中打開命令提示符,輸入ipconfig命令,查看靶機IP地址。如本實驗中靶機IP地址為:192.168.163.159,各個實訓環境下的IP地址會不同,以實際IP地址為準。在主機的命令提示符界面ping靶機IP地址,如本實驗中ping 192.168.163.159。如果主機與靶機之間的網絡不通,顯示“請示超時”“數據包丟失”等信息。解決方案:(1)檢查并設置靶機虛擬機網絡適配器為NAT模式。(2)主機或靶機的防火墻問題,建議關閉靶機防火墻。在靶機Windows10中“控制面板系統和安全Windows Defender 防火墻自定義設置”下,在“專用網絡設置”和“公用網絡設置”中都選擇“關閉Windows Defender 防火墻”。

問題2:主機是否有權限訪問靶機WampServer中的DVWA系統。

在主機谷歌瀏覽器地址欄中輸入靶機地址:192.168.163.159,瀏覽器反饋“Forbidden You don’t have permission to access/on this server.”這是由于靶機服務器不允許外界訪問所導致的問題。解決方法:步驟1,用鼠標左擊靶機桌面右下角WampServer的綠色圖標,在彈出的對話框中,依次選擇[Apache]-->[httpd.conf],在彈出的記事本文件中修改參數Require local為Require all granted。步驟2,用鼠標左擊靶機桌面右下角WampServer的綠色圖標,在彈出的對話框中,依次選擇[Apache]-->[httpd-vhosts.conf],在彈出的記事本文件中修改參數Require local為Require all granted。步驟3,重新啟動WampServer所有服務。在主機瀏覽器中輸入靶機地址192.168.163.159,可正常訪問靶機的主頁,再輸入地址192.168.163.159/dvwa,可正常訪問dvwa界面,如圖3所示。至此,所有設置已完成。

4 結語

本文以DVWA Web應用程序的實驗實訓環境要求出發,配置主機和靶機服務器軟硬件參數以及它們之間網絡通信,并分析配置過程中遇到的問題并提供解決方案。經實訓室實驗證明,本文配置的實訓參數不僅可用于單機的主機和靶機虛擬機配置,也可用于實訓室中服務器與學生PC機配置。高職計算機專業學生注重實操能力培養,相當數量的程序員在編寫代碼的時候,沒有充分考慮對用戶提交數據進行安全檢查,使應用程序存在安全隱患[5]。本研究期望通過DVWA網絡空間安全平臺有助于提高學生編寫程序代碼的嚴謹性和技能,也有助于學生參加網絡空間安全工程職稱申報工作。