لنخرج قليلا من جو دورة تعليم إختبار الإختراق،و لنقم بتنصيب مختبر ليساعدنا في اختبار إختراق تطبيقات الويب،من اكتشاف ثغرات الحقن إلى ثغرات الـ XSS و غيرهما من الثغرات.و لكن بعيدا عن الملاحقات القانونية،يعني بشكل آمن و قانوني جدا.
مشروع DVWA و هي اختصار لجملة Damn Vulnerability Web Application هو أحد مشاريع OWASP العديدة،بحيث يسمح لنا بتعلم اختبار إختراق تطبيقات الويب بشكل آمن سواء بتطبيق الثغرات السهلة أو حتى المتقدمة مثل Blind SQL Injection.
للتذكير فقط فإن المشروع مفتوح المصدر.
لتحميل المشروع توجه إلى الرابط التالي،حجم المشروع صغير حوالي 1.4 ميجا فقط،بعد التحميل و فك الضغط على الملف قم بنقل المجلد الناتج إلى المسار التالي:
الأمران السابقان لتشغيل سيرفر HTTP و سيرفر قواعد البيانات
الآن سنقوم بإنشاء قاعدة بيانات خاصة بالمشروع عن طريق الأمر التالي:
الفورم تطبي منك إسم مستخدم و كلمة مرور،الآن أكتب في المتصفح
قم بالضغط على زر التثبيت،الآن تم تثبيت المشروع بنجاح،قم بالعودة إلى الصفحة السابقة و التي تطلب منك اسم مستخدم و كلمة مرور:
إسم المستخدم: admin
كلمة المرور :password
على اليسار تلاحظون الثغرات التي يمكنك التعامل معها و بالتالي اتقان استغلالها.
أتمنى أن يكون الدرس في المستوى المرجو،ﻻ تبخلوني من تعليقاتكم،انتقاداتكم و آرائكم.دمتم بود،سلام
مشروع DVWA و هي اختصار لجملة Damn Vulnerability Web Application هو أحد مشاريع OWASP العديدة،بحيث يسمح لنا بتعلم اختبار إختراق تطبيقات الويب بشكل آمن سواء بتطبيق الثغرات السهلة أو حتى المتقدمة مثل Blind SQL Injection.
للتذكير فقط فإن المشروع مفتوح المصدر.
لتحميل المشروع توجه إلى الرابط التالي،حجم المشروع صغير حوالي 1.4 ميجا فقط،بعد التحميل و فك الضغط على الملف قم بنقل المجلد الناتج إلى المسار التالي:
/var/wwwبعدها قم بإعطائه الصلاحيات 755 كالتالي(عن طريق الترمينال):
cd /var/wwwﻻحظ أن DVWA هو إسم المجلد الناتج،الآن علينا أن نقوم بإنشاء قاعدة بيانات MySQL كالتالي:
chmod -R 755 DVWA
service apache2 start
service mysql start
الأمران السابقان لتشغيل سيرفر HTTP و سيرفر قواعد البيانات
mysql -u root -pهذا الأمر للدخول إلى خادم قواعد البيانات:في كالي لينكس ﻻ توجد كلمة مرور للدخول إلى الخادم كمستخدم جذر.
الآن سنقوم بإنشاء قاعدة بيانات خاصة بالمشروع عن طريق الأمر التالي:
create database dvwaﻻ أعتقد أن الأمر يحتاج إلى شرح،فقط إنشاء قاعدة بيانات بإسم dvwa،الآن تقريبا إنتهت العملية،لكن علينا تثبيت المشروع،توجه إلى المسار التالي عن طريق المتصفح
127.0.0.1/dvwaعليك تغيير dvwa بإسم المجلد الذي يحوي المشروع،ستظهر لك الفورم التالية
الفورم تطبي منك إسم مستخدم و كلمة مرور،الآن أكتب في المتصفح
127.0.0.1/dvwa/setup.phpستظهر لك الواجهة التالية و التي تطلب تثبيت المشروع:
قم بالضغط على زر التثبيت،الآن تم تثبيت المشروع بنجاح،قم بالعودة إلى الصفحة السابقة و التي تطلب منك اسم مستخدم و كلمة مرور:
إسم المستخدم: admin
كلمة المرور :password
على اليسار تلاحظون الثغرات التي يمكنك التعامل معها و بالتالي اتقان استغلالها.
أتمنى أن يكون الدرس في المستوى المرجو،ﻻ تبخلوني من تعليقاتكم،انتقاداتكم و آرائكم.دمتم بود،سلام
السلام عليكم
ردحذفاخي عبد المجيد عندما اردت الدخول الى قادعة البيانات
mysql -u root -p
ظهرت لي هذه الرسالة :
ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES)
ما هي ؟؟؟؟؟؟
خادم قواعد البيانات يستخدم كلمة مرور
حذفللدخول بدون كلمة مرور توجه إلى المسار التالي etc/mysql/ و ابحث عن my.cnf و ابحث عن pass و قم بحذف الباسوورد من المستخدم root