12 Ağustos 2011 Cuma

Damn Vulnerable Web Application Kurulumu

Bilişim güvenliği ile ilgilenen, bu alanda kendini geliştirmeyi hedefleyen herkesin en büyük sorunlarından birisi pratik yapacak alan bulmanın zorluğudur. Bu noktada iki seçenek söz konusudur. Ya ayın karanlık tarafına geçip bir başkasının sistemlerini kurcalarsınız ya da Damn Vulnerable Web Application gibi bir web uygulamasını kullanırsınız...

Damn Vulnerable Web Application (Türkçe mealiyle "Kahrolası Savunmasız Web Uygulaması"),  web uygulamalarında görülen SQL Injection, File Include,XSS, CSRF, Command Execution gibi zaafiyetleri barındıran bir web uygulamasıdır...

Düşük, Orta, Yüksek olmak üzere üç farklı seviyede örnek web uygulamaları yer almaktadır. Düşük ve Orta seviyede mutelif güvenlik açıkları olup amacı bu açıkları istismar etmeniz ve temel hacking becerinizi geliştirmenizdir...

DVWA Kurulumu
DVWA yazılımını http://www.randomstorm.com/dvwa-security-tool.php adresinden indirebilirsiniz. Bu noktada Live CD veya kurulum paketi olarak iki farklı seçeneğe sahipsiniz. Eğer Live CD olarak indirirseniz içerisinde DVWA kurulu bulunan bir Live Linux sisteminiz olur. Tek sorun indirilmesi gereken dosya boyutunun oldukça büyük olmadır.

Kurulum paketini indirirsenzi çok daha küçük bir paket indirirsiniz. Ancak bu kezde bir web sunucusu kurmanız ve DVWA kurulumunu yapmanız gerekir. Web sunucu olarak Linux kullanıcıları Apache + PHP + MySQL kurulumu yapabilirler. Windows kullanıcıları ise Appserv veya XAMMP web sunucu paketlerinden birisini kurarak DVWA çalıştırabilirler.Uzun uzadıya Web Sunucu Kurulumu konusundan bahsetmiyorum ve bunu bir şekilde halledeceğinizi varsayıyorum...

Unutmadan söyleyeyim, DVWA paketinin kamuya açık bir web sunucuna veya önemli amaçlar için kullanılan gerçek sunuculara kurulmasını kesinlikle önermiyorum. İçerdiği zayıflıklar yüzünden ciddi sıkıntılara neden olabilir. Bu yüzden kesinlikle yerelde, internete açık olmayan bir web sunucu üzerine kurmanız faydalı olacaktır...

Aşağıdaki komut dizisiyle DVWA uygulamasının kurulum paketini web sunucu üzerine indirip dosyaları zip arşivinden çıkartalım. Benim sisteminde web sunucunun kök dizini /var/www olduğundan dosyaları bu atıyorum. Farklı bir web sunucusu kullanıyorsanız kendi web sunucunuzun kök dizinine dosyaları açmanız gereklidir...

root@ubuntu:~#  wget http://garr.dl.sourceforge.net/project/dvwa/DVWA-1.0.7.zip
root@ubuntu:~#  unzip DVWA-1.0.7.zip
root@ubuntu:~# cd dvwa/
root@ubuntu:~/dvwa# cp -r * /var/www/

Dosyalar açıldıktan sonra DVWA yazılımının veritabanına bağlanabilmesi için gerekli ayarları yapmamız gerekiyor. Bunun için bir metin düzenleyiciyi kullanarak config dizinindeki config.inc.php dosyası içerisine MySQL sunucu bilgilerini yazmamız gerekiyor. Ben nano kullanmayı tercih ediyorum siz en sevdiğiniz metin editörünü kullanabilirsiniz... :)

root@ubuntu:~/dvwa# nano /var/www/config/config.inc.php

config.inc.php dosyası içerisinde aşağıdaki satıları bulup düzenliyoruz.

15 $_DVWA[ 'db_server' ] = 'localhost';
16 $_DVWA[ 'db_database' ] = 'dvwa';
17 $_DVWA[ 'db_user' ] = 'root';
18 $_DVWA[ 'db_password' ] = '123456';

15. satırdaki $_DVWA[ 'db_server' ] değişkeni MySQL sunucmuzu gösteriyor. Ben localhost olarak kullanıyorum. Farklı bir MySQL sunucu kullanacaksanız buraya MySQL sunucunun IP adresini yazabilirsiniz.
16. Satırdaki $_DVWA[ 'db_database' ] değişkeni kullanılacak veritabanı adını gösterir. Genellikle değiştirmeye gerek yoktur.
17. satırda $_DVWA[ 'db_user' ] değişkeni MySQL kullanıcı adını belirtiyor. Ben root olarak kullanıyorum.
18. satırda ise $_DVWA[ 'db_password' ] değişkeni ise MySQL kullanıcı parolasını gösteriyor. Ben parola olarak 123456 kullandım. :)

config.inc.php dosyasında veritabanı bağlantı ayarlarını yaptıktan sonra, web tarayıcımızdan web sunucumuza bağlanalım ve DVWA uygulamasını çalıştıralım. Benim kurulum yaptığım sanal sunucumun iIP adresi 192.168.5.233 olduğundan URL satırına aşağıdaki adresi yazıyorum. Siz de kendi sunucunuzun IP adresini kullanmalısınız.

Sayfa açıldığında DVWA logosu ve "Unable to connect to the database. mysql_error() Click here to setup the database." mesajı ile karşılaşmanız gerekiyor. Buradaki Click here to setup the database bağlantısını takip edelim ve açılan ekranda "Create / Reset Database" butonuna tıklayarak  DVWA yazılımının ihtiyaç duyduğu veritabanını oluşturmasını sağlayalım. Herşey yolunda gitmişse aşağıdaki mesajları görmeniz gerekecek...



Tüm bu mesajları görmüşseniz DVWA kullanıma hazır demektir. Bu aşamadan sonra, admin kullanıcı adı ve password parolasıyla DVWA uygulamasına bağlanabilirsiniz.

Login olduğunuzda sol menüde görülen güvenlik açıklarından birisini seçerek hacking denemelerinize başlayabilirsiniz...

Hiç yorum yok:

Yorum Gönder