SQLInjection 靶場配置

對於滲透，過小型的網站沒有太大價值，而大型網站（好比各類電商平臺）對於代碼審計每每很是嚴格，新手基本找不到漏洞，而一些比較容易搞掉的站點（政府.gov、各類教育網站.edu或者不少商業中型站點）滲透又有喝茶甚至受到刑事處罰的危險（參考世紀佳緣案件），因此搭建本地的滲透靶場環境是比較有價值的， 同時從源碼學習（白盒測試），對於新手幫助很大。
首先嚐試運行環境：Ubutun16.04 + Apache + php + Mysql，可是關於apache的網站根目錄的var/www配置沒有成功，因此暫時轉用Windows + WampServer，最後成功配置DVWA靶場環境和sqli-labs靶場環境。

WampServer環境

登錄http://localhost 或是 http://127.0.0.1 驗證是否配置成功：

 

配置成功

 

DVWA

DVWA（Damn Vulnerable Web Application）教學包含了SQL注入、XSS、盲注等常見安全漏洞
github網站：https://github.com/ethicalhack3r/DVWA

配置成功：

 

DVWA index.php

 

Sqli-labs

闖關遊戲教程，新手打怪升級適用
github網站：https://github.com/Audi-1/sqli-labs

配置成功：

 

成功配置數據庫

進入第一個Demo站點：

 

 

Lesson 1

運行成功，而後就能夠開始愉快地玩耍了。

 

Summary

1. Ubuntu下使用chmod 777修改文件的讀寫權限很重要，否則每次都須要sudo修改文件
2. 靶場配置時基本都須要初始化配置Mysql的root和password，好比DVWA-master/config裏的config.inc.php
3. 使用firefox和HackBar工具提升效率
4. 雖然Ubuntu下環境的配置更加艱難，可是仍是感受Linux比Windows在權限設置上更加清晰，管理員、用戶和組羣的權限區別很明顯，缺點就是要使用更繁雜的命令去修改和區分權限。