Blog

Préparation de l’environnement Cybersécurité – dvwa

dvwa, Dawn Vulnerable Web Application (https://github.com/digininja/DVWA)

Cette installation se fait sur une distribution Debian 12.0 « Bookworm (rat de bibliothèque) » publiée cet été. Sa durée de vie est de 5 ans.

La encore, cette distribution sera installée sans interface graphique afin d’optimiser les ressources utilisées. Une fois de plus, Webmin permettra d’administrer à distance cette nouvelle machine.

On installe un serveur LAMP :

Il convient de sécuriser l’accès du compte « root » à MariaDB. On utilise la commande « mysql_secure_installation ».


Il convient de créer :

  • une base de données,
  • un utilisateur,
  • et de donner des droits à cet utilisateur sur la base de données créée.

On met à jour le serveur de bases de données et on le quitte.

Cette partie là est terminée.


Il convient de se positionner dans le répertoire des documents d’Apache (/var/www.html/) afin de pouvoir cloner le projet dvwa.

Après le clonage, un dossier DVWA a été créé. Il contient l’intégralité du site web.

Il convient maintenant de configurer l’accès à la base de données.

Il convient de cloner le fichier « config.inc.php-dist » et de le renommer en « config.inc.php ». Vous de vez obtenir ceci :

Il convient d’ouvrir le fichier nouvellement créé et d’y intégrer les habilitations nécessaires :

La configuration est terminée.


On lance l’application avec un navigateur.

Par défaut :

  • Username : Admin
  • password : password

Une étape de configuration complémentaire est nécessaire, comme ceci :

  1. Il convient de modifier le fichier « php.ini » (dossier /etc/php/8.2/apache2/) pour modifier les3 premières lignes en rouge. Il conviendra de relancer Apache. Typiquement : systemctl restart (ou reload) apache2.
  2. Pour le reCAPTCHA, on peut utiliser celui de Google (https://www.google.com/recaptcha/admin/create) afin de générer les 2 clés nécessaires (clé privée, clé publique) afin d’utiliser le CAPTCHA le moment venu.
  3. Enfin, il convient de modifier les 2 dossiers mentionnées en mettant les droits appropriés afin qu’ils soient « writable ». Pour cela, j’ai utilisé la commande « chmod 777 …).

Un fois cela corrigé, il convient de clqiuer sur le bouton « Create / Reset Database ».

Vous revenez sur la page d’accueil, qui est un login qui vous demande vos éléments d’identification (admin / password).

L’application est installée et utilisable lors de séances de cybersécurité.