dvwa, Dawn Vulnerable Web Application (https://github.com/digininja/DVWA)
Cette installation se fait sur une distribution Debian 12.0 « Bookworm (rat de bibliothèque) » publiée cet été. Sa durée de vie est de 5 ans.
La encore, cette distribution sera installée sans interface graphique afin d’optimiser les ressources utilisées. Une fois de plus, Webmin permettra d’administrer à distance cette nouvelle machine.
On installe un serveur LAMP :
Il convient de sécuriser l’accès du compte « root » à MariaDB. On utilise la commande « mysql_secure_installation ».
Il convient de créer :
- une base de données,
- un utilisateur,
- et de donner des droits à cet utilisateur sur la base de données créée.
On met à jour le serveur de bases de données et on le quitte.
Cette partie là est terminée.
Il convient de se positionner dans le répertoire des documents d’Apache (/var/www.html/) afin de pouvoir cloner le projet dvwa.
Après le clonage, un dossier DVWA a été créé. Il contient l’intégralité du site web.
Il convient maintenant de configurer l’accès à la base de données.
Il convient de cloner le fichier « config.inc.php-dist » et de le renommer en « config.inc.php ». Vous de vez obtenir ceci :
Il convient d’ouvrir le fichier nouvellement créé et d’y intégrer les habilitations nécessaires :
La configuration est terminée.
On lance l’application avec un navigateur.
Par défaut :
- Username : Admin
- password : password
Une étape de configuration complémentaire est nécessaire, comme ceci :
- Il convient de modifier le fichier « php.ini » (dossier /etc/php/8.2/apache2/) pour modifier les3 premières lignes en rouge. Il conviendra de relancer Apache. Typiquement : systemctl restart (ou reload) apache2.
- Pour le reCAPTCHA, on peut utiliser celui de Google (https://www.google.com/recaptcha/admin/create) afin de générer les 2 clés nécessaires (clé privée, clé publique) afin d’utiliser le CAPTCHA le moment venu.
- Enfin, il convient de modifier les 2 dossiers mentionnées en mettant les droits appropriés afin qu’ils soient « writable ». Pour cela, j’ai utilisé la commande « chmod 777 …).
Un fois cela corrigé, il convient de clqiuer sur le bouton « Create / Reset Database ».
Vous revenez sur la page d’accueil, qui est un login qui vous demande vos éléments d’identification (admin / password).
L’application est installée et utilisable lors de séances de cybersécurité.