Come testare le tecniche di Hacking in modo sicuro e legale? DVWA!

DVWA is a Damm Vulnerablr Web App

L’idea di scrivere questo post, nasce dall’attacco praticato verso un mio server in cloud  effettuato la scorsa settimana. I sistemi di alert  avvisandomi in tempo reale della minaccia, mi hanno permesso di analizzare il tipo di attacco. In realtà potevano essere interpretati più come test che un attacco vero e proprio e, quasi sicuramente, era effettuato da un novellino.  Ora, se questo newbie avesse utilizzato una macchina target tutta sua, non si sarebbe “esposto” e avrebbe potuto controllare (cosa  importantissima) cosa succedeva sul server!

Damn Vulnerable Web Application
Damn Vulnerable Web Application

DVWA (è un’applicazione web PHP/MySQL dannatamente vulnerabile).  Con questa applicazione i professionisti della sicurezza e gli hacker etici mettono alla prova le loro abilità ed eseguono test in un ambiente legale. Aiuta anche gli sviluppatori web a comprendere meglio i processi di sicurezza delle applicazioni web e gli insegnanti/studenti per insegnare/apprendere la sicurezza delle applicazioni web in un ambiente sicuro.

L’obiettivo del DVWA è quello di permettere lo studio di alcune delle più comuni vulnerabilità web con vari livelli di difficoltà in maniera sicura e legale.

In altre parole, abbiamo la possibilità di creare in poco tempo un computer Target dove poter ricercare, vedere e sfruttare alcune delle vulnerabilità insite in applicazioni web-based, in maniera del tutto sicura.



 

Livelli di difficoltà

Come suggerisce il nome, il DVWA ha molte vulnerabilità web. Ogni vulnerabilità ha quattro diversi livelli di sicurezza, basso, medio, alto e impossibile. I livelli di sicurezza rappresentano una sfida per l'”attaccante” e mostrano anche come ogni vulnerabilità può essere contrastata attraverso la codifica software sicura.

Livello di sicurezza.

Impossibile: In questo livello, dovrai affrontare sfide come la CTF ed è più difficile dell’altro livello. Questo livello dà difficoltà che ci troviamo ad affrontare nel mondo reale.
Alto: Questo livello di vulnerabilità fornisce all’utente un esempio di come proteggere la vulnerabilità attraverso metodi di codifica sicura. Permette all’utente di capire come si può misurare la vulnerabilità. Questo livello di sicurezza dovrebbe essere inattaccabile, ma, come tutti sappiamo, non è sempre così. Quindi, se si riesce a scavalcarlo, che si sta facendo bene.
Medio: Lo scopo di questo livello di sicurezza è quello di dare all'”attaccante” una sfida nello sfruttamento e servire anche come esempio di cattive pratiche di codifica e di sicurezza.
Basso: Questo livello di sicurezza ha lo scopo di simulare un sito web senza alcuna sicurezza implementata nella loro codifica. Dà agli “aggressori” la possibilità di perfezionare le loro capacità di sfruttamento.

Facciamolo

Prima di tutto bisogna scaricarlo. Ah! Si può scaricare l’applicazione web , che ha bisogno di un server web, php e MySql o possiamo scaricare una bella immagine iso da utilizzare con VirtualBox.

Io sinceramente preferisco la seconda ipotesi ! 🙂

Ed ora scaricatevi un manuale per la configurazione e il primo run, e che la forza sia con voi !