peperonity.net
Welcome, guest. You are not logged in.
Log in or join for free!
 
Stay logged in
Forgot login details?

Login
Stay logged in

For free!
Get started!

Text page


hacker competance x
aziabu.justin.facebook.peperonity.net

page de texte

DVWA: Testez vos compétences en Hacking
Publié le 27 décembre, 2013 par Ahmed
S

699


DVWA (Damn Vulnerable Web App) est une application Web qui est sacrément vulnérables écrite en PHP/MySql . Elle est légère, facile à utiliser et plein de failles à exploiter.
DVWA est destiné aussi bien aux professionnels de la sécurité qu’aux personnes souhaitant s’entraîner ou voulant en apprendre plus sur les attaques Web, de tester des techniques d’attaques dans un environnement légal.
Les principaux objectifs de DVWA

Apprendre à identifié les vulnérabilités des sites et des applications web,
Tester les techniques d’exploitation et d’intrusion,
Apprendre les méthodes de correction pour mieux sécuriser des systèmes .

Les failles web disponible dans l’application DVWA

Attaque par force brute
Exécution de commande via shell_exec en PHP
Attaques CSRF
Faille Include
Attaques par SQL Injection
Faille upload
Attaques XSS

Installation de Damn Vulnerable Web App

Tout d’abord, téléchargez l’application sur Sourceforge, puis placer le dossier Dvwa dans votre serveur web WAMP ou XAM ou encore Esayphp.
Lancez l’application sur localhost http://127.0.0.1/dvwa/index.php . Un installeur vous permettra de l’installer en quelques clics.
Le login de l’application c’est : Admin et le mot de passe : password
Pour installer la base de données, il suffit de cliquer sur setup dans le menu principal, puis cliquez sur « Create / Reset Database ».

pentester1 DVWA: Testez vos compétences en Hacking
Comment mettre en pratique quelques attaques sur DVWA ?

L’application DVWA contient trois niveaux de difficulté: Facile, moyen et difficile.
Je vous recommande d’en choisir le niveau facile pour commencer, afin de ne pas se décourager. Bien entendu, vous pourrez passer aux niveaux suivants par la suite, mais il est préférable de commencer intelligemment.

Dans l’exploitation d’une faille, il vous faudra certaines qualités humaines pour réussir: patience, persévérance et discrétion. C’est une étape où il faudra utiliser au mieux ses connaissances en informatique, et je pèse mes mots. icon smile DVWA: Testez vos compétences en Hacking

Remarque: Pour changer le niveau de difficulté, cliquez sur « DVWA Security » et choisissez le niveau qu’il vous faut.
Attaque XSS DVWA

Nous allons commencer par la réalisation d’une attaque de type XSS permanente.
Pour cela, nous allons choisir «XSS stored » dans le menu a droite. Un joli formulaire avec deux champs est alors affiché. Normalement la détection de la présence d’une faille XSS peut se faire en entrant un code javascript dans un champ de formulaire ou dans une URL.
Donc on tape la ligne suivante dans le champ message de notre formulaire :

<script>alert('FunInformatique')</script>

Si une boîte de dialogue apparaît, on peut en conclure que l’application Web est sensible aux attaques de type XSS. Ce script s’exécutera à chaque fois qu’on visite cette page.

audit2 DVWA: Testez vos compétences en Hacking
Il reste maintenant que vous exploitez cette faille un avec code JavaScript plus utile et si vous n’avez pas le temps de coder du JavaScript, utilisez BeEF, un Framework d’Exploitation XSS.

Il faut savoir que dans le niveau facile, la sécurité est absente complètement dans l’application.
Attaque Upload sur DVWA

Nous allons maintenant passer à l’exploit de la faille upload (niveau facile). On clique sur « Upload » dans le menu droit.
La faille upload est une faille permettant d’uploader des fichiers avec une extension non autorisée (par exemple un code php).
Pour l’exploiter, nous allons essayé d’uploder un Web Shell PHP(comme C99 ou R57) sur le serveur qui va nous donner le contrôle du serveur.

Pour cela, cliquez sur parcourir, sélectionner votre shell PHP et validez

Le fichier est uplodé avec sucées. Il vous reste maintenait d’exécuter le shell qui se trouve dans: http://localhost/dvwa/hackable/uploads/

upload faille DVWA: Testez vos compétences en Hacking

Vous pourrez vous amuser en local avec d’autre type de faille dans les différents niveaux. Entraînez vous bien et testez vos compétences en hacking légalement. Cela vous donne l’occasion de montrer ce que vous pouvez faire. icon wink DVWA: Testez vos compétences en Hacking
Et si vous êtes bloqués dans un test, n’hésitez pas à nous en informer dans un commentaire. icon smile DVWA: Testez vos compétences en Hacking

Pour plus de nouveautés, merci de vous abonner à la newsletter du blog ou à son flux RSS. N’hésitez pas aussi à faire un tour sur Twitter, Google+ ou encore Facebook pour d’autres news.

Ceux qui ont aimé cet article ont également apprécié ceux-là :

Détecter un Web Shell de hackers présent sur votre serveur
Faille Upload, comment l’exploiter et s’en protéger
Faille XSS, comment l’exploiter et s’en protéger
Comment exploiter une faille XSS avec le framework Beef ?
Les keyloggers: fonctionnement, utilisation et protection
Comment exploiter la faille 0day d’Internet Explorer avec Metasploit
Protéger votre site web contre les failles de sécurité
ARP cache poisoning: Comment sniffer un reseau avec Ettercap
Pirater un distributeur de billets sous XP avec un simple SMS
Ce qu’il faut maîtriser pour devenir un bon hacker
Astuce 2014: Savoir qui vous a supprimé de Facebook
Faille Include, comment l’exploiter et s’en protéger
Les 10 failles de sécurité les plus critiques en 2013
Les étapes de hacking
Les meilleurs commandes Meterpreter de Metasploit
5 addons Firefox que tout hacker doit avoir !
Tuto Hack: Récupération du mot de passe des routeurs Sagem Fast

Recherches qui ont permis de trouver cet article:

dvwa, damn vulnerable web application, comment utiliser dvwa, tutoriel sur linstallation de DVWA sous linux, s\ exercer au hacking légalement, havker avec shell c99 uplaod faille, dvwa xss stored, Aprendre l attaque dvwa, create database dvwa, compétence faille web
You can skip to the end and leave a response. Pinging is currently not allowed. - See more at: http://www.funinformatique.com/dvwa-testez-vos-competences-en-...


This page:




Help/FAQ | Terms | Imprint
Home People Pictures Videos Sites Blogs Chat
Top
.