DVWA adalah singkatan dari Damn Vulnerable Web Application. Ini adalah aplikasi web yang dirancang khusus untuk tujuan pendidikan dan pengujian keamanan. DVWA menyediakan berbagai tingkat kerentanan yang dapat digunakan untuk mengevaluasi keterampilan pengujian penetrasi dan mengejar lebih banyak pemahaman tentang bagaimana mengatasi masalah keamanan aplikasi web.
Sesuai namanya DVWA sangat mudah untuk ditembus, jadi jangan install DVWA pada komputer yang dapat diakses melalui jaringan. Langkah terbaik adalah menginstall DVWA pada VM VirtualBox yang networknya terhubung dengan NAT Network.
digininja on github
Untuk menginstal DVWA (Damn Vulnerable Web Application) pada Ubuntu, ikuti langkah-langkah berikut:
- Pastikan Ubuntu sudah ter-update
sudo apt update && sudo apt upgrade
- Instalasi dependency yang dibutuhkan
apt install -y apache2 mariadb-server mariadb-client php php-mysqli php-gd libapache2-mod-php
- Masuk ke dalam directory /var/www/html/
cd /var/www/html
- Clone git DVWA
git clone https://github.com/digininja/DVWA.git
- Perbaiki owner dan permission untuk DVWA
chown -R www-data:www-data /var/www/html/dvwa
chmod 755 /var/www/html/dvwa
- Jalankan perintah secure installation untuk mysql
sudo mysql_secure_installation
Enter current password for root (enter for none):
Switch to unix_socket authentication [Y/n] Y
Change the root password? [Y/n] Y
Remove anonymous users? [Y/n] Y
Disallow root login remotely? [Y/n] Y
Remove test database and access to it? [Y/n] Y
Reload privilege tables now? [Y/n] Y
- Masuk ke MariaDB lagi dan buat database dan database user untuk dvwa.
sudo mysql -u root -p
CREATE DATABASE dvwa;
CREATE USER dvwa IDENTIFIED BY 'p@ssw0rd';
GRANT ALL PRIVILEGES ON dvwa.* TO 'dvwa'@'localhost' IDENTIFIED BY 'p@ssw0rd';
FLUSH PRIVILEGES;
- Ubah config file DVWA
cd /var/www/html/dvwa/config
sudo cp config.inc.php.dist config.inc.php
sudo nano config.inc.php
$_DVWA = array();
$_DVWA[ 'db_server' ] = '127.0.0.1';
$_DVWA[ 'db_database' ] = 'dvwa';
$_DVWA[ 'db_user' ] = 'dvwa';
$_DVWA[ 'db_password' ] = 'p@ssw0rd';
$_DVWA[ 'db_port'] = '3306';
- Akses DVWA melalui web browser http://127.0.0.1/dvwa. Jika menggunakan NAT Network, anda harus mengatur rules Port Forwarding port 80 terlebih dahulu.
- Masuk ke menu DVWA Security dan atur tingkat keamanan sesuai dengan level yang ingin dipelajari.
Instalasi DVWA selesai dan siap digunakan untuk belajar. Selamat ngoprek.
Bang, bagian XSS Storednya kok error 500 ya bang ?
Coba cek di /var/log/apache2/ terus tail -f error.log, reproduksi step yang bikin error. sambil lihat error di log apache. Nanti reply pake screenshot.