لنخرج قليلا من جو دورة تعليم إختبار الإختراق،و لنقم بتنصيب مختبر ليساعدنا في اختبار إختراق تطبيقات الويب،من اكتشاف ثغرات الحقن إلى ثغرات الـ XSS و غيرهما من الثغرات.و لكن بعيدا عن الملاحقات القانونية،يعني بشكل آمن و قانوني جدا.

مشروع DVWA و هي اختصار لجملة Damn Vulnerability Web Application هو أحد مشاريع OWASP العديدة،بحيث يسمح لنا بتعلم اختبار إختراق تطبيقات الويب بشكل آمن سواء بتطبيق الثغرات السهلة أو حتى المتقدمة مثل Blind SQL Injection.

للتذكير فقط فإن المشروع مفتوح المصدر.

لتحميل المشروع توجه إلى الرابط التالي،حجم المشروع صغير حوالي 1.4 ميجا فقط،بعد التحميل و فك الضغط على الملف قم بنقل المجلد الناتج إلى المسار التالي:

/var/www

بعدها قم بإعطائه الصلاحيات 755 كالتالي(عن طريق الترمينال):

cd /var/www
chmod -R 755 DVWA

ﻻحظ أن DVWA هو إسم المجلد الناتج،الآن علينا أن نقوم بإنشاء قاعدة بيانات MySQL كالتالي:

 service apache2 start
service mysql start

الأمران السابقان لتشغيل سيرفر HTTP و سيرفر قواعد البيانات

mysql -u root -p

هذا الأمر للدخول إلى خادم قواعد البيانات:في كالي لينكس ﻻ توجد كلمة مرور للدخول إلى الخادم كمستخدم جذر.
الآن  سنقوم بإنشاء قاعدة بيانات خاصة بالمشروع عن طريق الأمر التالي:

create database dvwa

ﻻ أعتقد أن الأمر يحتاج إلى شرح،فقط إنشاء قاعدة بيانات بإسم dvwa،الآن تقريبا إنتهت العملية،لكن علينا تثبيت المشروع،توجه إلى المسار التالي عن طريق المتصفح

127.0.0.1/dvwa

عليك تغيير dvwa بإسم المجلد الذي يحوي المشروع،ستظهر لك الفورم التالية

الفورم تطبي منك إسم مستخدم و كلمة مرور،الآن أكتب في المتصفح

127.0.0.1/dvwa/setup.php

ستظهر لك الواجهة التالية و التي تطلب تثبيت المشروع:

قم بالضغط على زر التثبيت،الآن تم تثبيت المشروع بنجاح،قم بالعودة إلى الصفحة السابقة و التي تطلب منك اسم مستخدم و كلمة مرور:
إسم المستخدم: admin
كلمة المرور :password

على اليسار تلاحظون الثغرات التي يمكنك التعامل معها و بالتالي اتقان استغلالها.
أتمنى أن يكون الدرس في المستوى المرجو،ﻻ تبخلوني من تعليقاتكم،انتقاداتكم و آرائكم.دمتم بود،سلام

2 تعليقان. Leave new

  • السلام عليكم
    اخي عبد المجيد عندما اردت الدخول الى قادعة البيانات
    mysql -u root -p
    ظهرت لي هذه الرسالة :
    ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES)
    ما هي ؟؟؟؟؟؟

    رد
    • خادم قواعد البيانات يستخدم كلمة مرور
      للدخول بدون كلمة مرور توجه إلى المسار التالي etc/mysql/ و ابحث عن my.cnf و ابحث عن pass و قم بحذف الباسوورد من المستخدم root

      رد

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

Fill out this field
Fill out this field
الرجاء إدخال عنوان بريد إلكتروني صالح.
You need to agree with the terms to proceed

هذا الموقع يستخدم Akismet للحدّ من التعليقات المزعجة والغير مرغوبة. تعرّف على كيفية معالجة بيانات تعليقك.

القائمة