DVWA - Damn Vulnerable Web Application
クソ脆弱なWebアプリ(意図的に多数の脆弱性を持たせているWEBアプリ)
Kali から Metasploitable2 への疎通確認。
root@kali:~# ping 192.168.56.105 PING 192.168.56.105 (192.168.56.105) 56(84) bytes of data. 64 bytes from 192.168.56.105: icmp_seq=1 ttl=64 time=0.636 ms 64 bytes from 192.168.56.105: icmp_seq=2 ttl=64 time=0.865 ms 64 bytes from 192.168.56.105: icmp_seq=3 ttl=64 time=0.835 ms
Kali Linux のブラウザを立ち上げ、Metasploitable2 に接続する。
「DVWA」をクリック。ログイン。
画面下に表示されている通り、デフォルトパスワードは
Username: admin Password: password である。
データベースの初期化
「Setup」→「Create / Reset Database」
セキュリティレベルの変更
「DVWA Security」→「high」から「low」へ変更 → 「Submit」
左の一覧に並んでいるように、DVWAは [Brute Force] [CSRF] [SQL Injection] など各種の脆弱性が実装されているので色々な攻撃を試すことができる。