OWASP BWA上で稼働しているWebアプリケーションの1つであるDVWA(Damn Vulnerable Web Application) についてです。

OWASP BWA上のDVWAは、単純に GitHub からファイルを持ってきてDB等の設定箇所だけ書き換えているようです。従って、以下の手順で最新版にすることができます。

1. OWASP BWA にログインします。

• rootユーザのデフォルトパスワードは “owaspbwa” です。

2. DVWAのディレクトリに移動します。

$ cd /owaspbwa/dvwa-git

3. gitコマンドで各ファイルを更新します。

$ sudo git pull

4. 以上

備考

• DVWAのデータベース設定ファイルは、/owaspbwa/dvwa-git/config/config.inc.php です。
• /owaspbwa/dvwa-git/ を削除してしまっても、以下の手順でDVWAを再構築できます。

  1. OWASP BWAにrootでログインします。

  2. DVWAのディレクトリを配置するパスに移動します。

     •   $ cd /owaspbwa/

  3. GitHub のリポジトリからファイルを一式持ってきます。

     •   $ git clone https://github.com/RandomStorm/DVWA.git dvwa-git

     • ※ /owaspbwa/dvwa-git から /var/www/dvwa にシンボリックリンクが作成されていることを前提としています。なければ作成して下さい。

  4. ファイルの所有者を変更します。

     •   $ chown -R www-data:www-data dvwa-git

  5. 元のデータベースをそのまま使う場合は、設定ファイルの内容を以下のように変更します。

     •   $ cd dvwa-git
          $ vi config/config.inc.php

     • 変更する箇所は以下です。

     •   $_DVWA['db_server'] = 'dvwa';
           $_DVWA['db_user'] = 'dvwa';
           $_DVWA['db_password'] = 'dvwa';
           $_DVWA['default_security_level'] = "low";

  6. データベースを新規に作成する場合は、自分でMySQLユーザや特権などの設定も必要になります。

     • 詳細は割愛します。

  7. 以上

関連サイト

• 公式サイト
  • DVWA - Damn Vulnerable Web Application
• GitHub
  • RandomStorm/DVWA · GitHub