Neste pequeno tópico apresento o DVWA – Damn Vulnerable Web App, afim de utilizarmos para um laboratório de testes utilizando ferramentas de pentest. O principal objetivo é verificarmos os perigos de SQL Injection, no entanto apresento apenas uma alternativa entre muitas para estudos e testes que pode contribuir muito com o desenvolvimento do profissional de Segurança da Informação.
Para começar o treinamento poderemos utilizar a ferramenta SQLMAP que encontra-se na distribuição BackTrack. Com esta ferramenta poderemos fazer uma varredura no banco de dados extraindo informações importantes que contribuirá com uma implementação e configuração mais adequada.
A melhor maneira de aprendermos alguma coisa é fazendo, teoria aliada á prática proporciona soluções e implementações maduras, minimizando consequências inesperadas.
Resumo do DVWA
“DVWA é uma aplicação web PHP/Mysql totalmente vulnerável. Seus principais objetivos é propiciar ajuda para profissionais de segurança, a fim de testar suas habilidades e ferramentas de pentest em um ambiente legal, ajudar desenvolvedores web a entender melhor os processos de proteção de aplicativos da web e ajudar professores, alunos, etc aprender sobre segurança de aplicativos web em um ambiente de sala de aula .
ATENÇÃO!
DVWA é uma aplicação web PHP/Mysql totalmente vulnerável! Não faça o upload para a pasta pública de seu provedor de hospedagem ou qualquer servidor web internet enfrentando a situação de que será comprometida. Recomendamos baixar e instalar o XAMPP para uma máquina local dentro de sua LAN, que é usado apenas para testes.
AVISO !
Nós não nos responsabilizamos pela forma, como qualquer um usa esta aplicação. Fizemos somente para fins de aplicação clara e não deve ser usado maliciosamente. Temos dado avisos e tomado medidas para evitar que usuários instalem DVWA em servidores web. Se o seu servidor web está comprometido através de uma instalação de DVWA não é nossa responsabilidade é da responsabilidade da pessoa que carregou e instalou-se.”
Veja este vídeo que explica muito bem a instalação do DVWA e XAMPP
Assista o vídeo: Instalando e rodando DVWA e XAMPP
Na VPS http://lab1.grsecurity.net.br/login.php temos o DVWA instalado, caso queiram verificar alguma coisa. Para logar faça o seguinte:
Username: admin
Password: password
Obs: a qualquer momento a equipe BackTrack Brasil poderá retirar o site http:// lab1.grsecurity.net.br/login.php com DVWA do ar, o objetivo é apenas visualizar a ferramenta e o propósito é você instalar o DVWA com o XAMPP localmente, conforme recomendações.
Abraços a todos e até a próxima.
