Phần 2. CÀI ĐẶT DVWA

2.1. Giới thiệu

- DVWA (Damn Vulnerable Web Application) là một ứng dụng web được thiết kế để kiểm thử lỗ hổng bảo mật. Nó giúp các nhà nghiên cứu bảo mật, sinh viên và chuyên gia bảo mật thực hành khai thác các lỗ hổng phổ biến trong ứng dụng web, bao gồm SQL Injection, XSS (Cross-Site Scripting), CSRF (Cross-Site Request Forgery), File Inclusion, và nhiều loại tấn công khác.

- DVWA cung cấp một giao diện thân thiện với ba mức độ bảo mật (Low, Medium, High), cho phép người dùng kiểm tra cách ứng dụng phản ứng với các cuộc tấn công ở các mức độ khác nhau. Đây là một công cụ tuyệt vời để học tập và rèn luyện kỹ năng tấn công và phòng thủ an ninh mạng trong môi trường an toàn.

2.2. Chuẩn bị

- Kali Linux đã cài đặt.

- Apache, MySQL, PHP.

2.3. Các bước thực hiện

Sau khi tải DVWA, ta cần cấu hình một số thông tin, đầu tiên là quyền đọc, ghi và thực thi cho thư mục dvwa.

Tiếp theo, bạn cần thiết lập tên người dùng và mật khẩu để truy cập cơ sở dữ liệu. Trong DVWA, file config.inc.php.dist là một tập tin cấu hình mẫu chứa các thiết lập mặc định cho ứng dụng. Sau khi sao chép từ config.inc.php.dist -> config.inc.php, ta có thể chỉnh sửa file để thiết lập thông tin như:

• Thông tin kết nối MySQL (db_user, db_password, db_name, db_host).

• Mức độ bảo mật của DVWA (default_security_level).

• Các cài đặt khác như bật/tắt reCAPTCHA, PHPIDS.

Tiếp theo ta tiến hành start mysql service.

đăng nhập vào MySQL với quyền root, hệ thống sẽ yêu cầu bạn nhập mật khẩu, hãy nhấn Enter nếu chưa đặt mật khẩu root và MySQL sẽ được mở như hình bên dưới.

Tiếp theo, ta tạo user mới với tên người dùng và mật khẩu tương tự như trong file cấu hình DVWA (trong bài này đặt là luongdv và at19n). Máy chủ đang được sử dụng là Localhost (127.0.0.1).

CREATE USER 'luongdv'@'127.0.0.1' IDENTIFIED BY 'at19n';

GRANT ALL PRIVILEGES ON dvwa.* TO 'luongdv'@'127.0.0.1';

FLUSH PRIVILEGES;

PHP thường được cài đặt sẵn trên Kali Linux. Để cấu hình máy chủ Apache, đầu tiên bạn chạy lệnh sau trong terminal để chuyển đến thư mục /etc/php/8.2/apache2

Sau đó ta sẽ chỉnh sửa file php.ini. File php.ini là file cấu hình chính của PHP, dùng để thiết lập các thông số ảnh hưởng đến cách PHP hoạt động trên máy chủ Apache. Khi bạn chạy DVWA hoặc bất kỳ ứng dụng PHP nào trên localhost, có thể cần chỉnh sửa file này để đảm bảo môi trường PHP hoạt động đúng cách. Tìm dòng allow_url_fopen và allow_url_include rồi thiết lập giá trị thành On

Sử dụng phím tắt Ctrl + S Ctrl + X để lưu và thoát. Sau đó khởi động máy chủ Apache.

Sau khi hoàn tất cấu hình, mở firefox và truy cập vào http://127.0.0.1/DWVA/setup.php

Tiếp đó ta sẽ chọn Create / Reset Database để tạo và cấu hình lại database. Sau đó, bạn sẽ được tự động chuyển hướng đến trang đăng nhập DVWA với Username: admin & Password: password.

Khi bạn đăng nhập vào DVWA (Damn Vulnerable Web Application) thành công, bạn sẽ thấy giao diện phần mềm như ảnh dưới.