Damn Vulnerable Test de l'application Web

dvwa

Qu'est-ce que c'est ?

Bienvenue à notre essai - ce document vous fournira les informations dont vous avez besoin pour tirer le meilleur parti de l'essai de Damn Vulnerable Web App (DVWA) dans Azure.

Looxy.io est l’outil de test externe que nous recommandons. Il peut exécuter une variété de tests de sécurité (et autres). Et surtout, il est gratuit ! looxy.io

Comment cela fonctionne-t-il ?

L'ALB-X a la capacité d'exécuter des applications conteneurisées qui peuvent être jointes ensemble directement ou en utilisant le proxy de l'équilibreur de charge. Cette image contient un module complémentaire déjà déployé, mais vous pouvez toujours aller dans l'Appstore et en déployer d'autres.

Aperçu de la connectivité

Les machines virtuelles déployées dans le nuage Azure utilisent l'adressage IP interne privé (IP NAT'ed) de la même manière qu'elles seraient déployées dans un environnement de centre de données standard.

dvwa Connectivity

Nom d'hôte / adresse IP de Docker et connectivité du service IP

Les applications complémentaires déployées sur l'ALB-X communiquent avec l'ALB-X via une interface réseau interne docker0. Des adresses IP leur sont automatiquement attribuées à partir du pool interne docker0.

Un nom d'hôte pour chaque instance de l'application Add-On est configuré via l'interface graphique ALB-X avant le démarrage de l'application. L'ALB-X est capable de résoudre l'adresse IP de docker0 pour l'application en utilisant ce nom d'hôte interne. Utilisez toujours le nom de l'hôte lorsque vous adressez les conteneurs d'applications - les adresses IP peuvent changer !

Accès à l'interface graphique de Test Drive

Lorsque vous demandez un essai, une nouvelle instance de l'appliance de test DVWA est créée dans Azure.

Test drive DVWS

Nous vous recommandons d'utiliser le navigateur Chrome à cette fin. Accéder au serveur

https://host nom:27376

DVWS VIP

Compléments d'ALB-X

Cliquez sur Library dans le menu de gauche et sélectionnez Add-Ons. Vous pouvez voir ici le module complémentaire DVWA qui a été déployé sur la plateforme ALB-X.

Il a été configuré avec un conteneur ou un nom d'hôte dvwa1 et vous pouvez voir l'adresse IP dynamique docker0 172.x.x.x qui a été allouée lorsque l'application a été lancée.

Damn Vulnerable Web App

Comme c'est la fonctionnalité DVWA qui vous intéresse, il serait judicieux de jeter un coup d'œil à l'interface graphique DVWA. Le DVWA, comme vous pouvez le voir dans la désignation des services IP, fonctionne sur le port 80.

DVWA DatabaseSetup

Cliquez sur Créer / Réinitialiser la base de données

DVWS Create/Reset Database
DVWA login
DVWA welcome page

Le niveau de sécurité par défaut du DVWA est "Impossible", il ne présentera donc aucune vulnérabilité.

Injection de commandes

Nous allons essayer d'exploiter l'une des vulnérabilités du DVWA. Comme nous pouvons le voir, il y a une page dans DVWA où nous pouvons envoyer un ping à n'importe quelle adresse IP. Vérifions si le DVWA effectue la validation des paramètres d'entrée en mode de sécurité "faible". Entrez "127.0.0.1 ; cat /etc/passwd" dans le champ de saisie de l'adresse IP.

Voilà, nous avons réussi à injecter une commande arbitraire et obtenu une liste d'utilisateurs enregistrés dans le système d'exploitation.

Damn Vulnerable Web App (DVWA)

Un serveur web cible configurable qui peut être utilisé pour tester votre WAF et votre outil d'attaque.

Outil d'attaque des applications Web ZAP

Web Application Attack Tool est un scanner de vulnérabilité basé sur OWASP ZAP.

Nous serions ravis de vous entendre

Contactez-nous

0808 1645876

(866) 376-0175

Ne nous croyez pas sur parole, faites un essai gratuit.

Matériel, logiciel ou même votre propre image en ligne avec un environnement de test complet.
Faites-nous savoir ce dont vous avez besoin ici

Copyright © 2021 Edgenexus Limited.