DVWA - Damn Vulnerable Web Application

クソ脆弱なWebアプリ（意図的に多数の脆弱性を持たせているWEBアプリ）

Kali から Metasploitable2 への疎通確認。

root@kali:~# ping 192.168.56.105
PING 192.168.56.105 (192.168.56.105) 56(84) bytes of data.
64 bytes from 192.168.56.105: icmp_seq=1 ttl=64 time=0.636 ms
64 bytes from 192.168.56.105: icmp_seq=2 ttl=64 time=0.865 ms
64 bytes from 192.168.56.105: icmp_seq=3 ttl=64 time=0.835 ms

Kali Linux のブラウザを立ち上げ、Metasploitable2 に接続する。

「DVWA」をクリック。ログイン。
画面下に表示されている通り、デフォルトパスワードは
Username: admin　Password: password である。

データベースの初期化

「Setup」→「Create / Reset Database」

セキュリティレベルの変更

「DVWA Security」→「high」から「low」へ変更 → 「Submit」

左の一覧に並んでいるように、DVWAは [Brute Force] [CSRF] [SQL Injection] など各種の脆弱性が実装されているので色々な攻撃を試すことができる。