【セキュリティ・脆弱性対策】DVWAをUbuntuにインストールする

「セキュリティや脆弱性について知りたい・・・」
「SQLインジェクションとは実際にどうするの？」
「脆弱性を実際のコードで確認したい」

このような場合には、DVWAがオススメになります。
この記事では、DVWAをUbuntuにインストールする方法を解説しています。

本記事の内容

DVWAとは？
DVWAのシステム要件
DVWAのインストール
DVWAの動作確認

それでは、上記に沿って解説していきます。

DVWAとは？

DVWAとは、Damn Vulnerable Web Applicationの略称です。
日本語で表現すれば、クソ脆弱なWebアプリケーションとなります。

DVWAには、意図的に脆弱性が詰め込まれています。
これは、脆弱性の理解・学習のために用意されています。

したがって、DVWAは外部に公開してはいけません。
個人情報漏えいの問題がなくても、それ以外の攻撃を受ける可能性があります。

そうしたら、サーバー自体に無駄な負荷を与えることにもなりかねません。
最悪、ファイル破損などもあり得ます。

共用サーバーとかでそんなシステムがあれば、迷惑極まりないです。
そのため、DVWAは閉じた環境で利用しましょう。

以上、DVWAについて説明しました。
次は、DVWAのシステム要件を説明します。

DVWAのシステム要件

DVWAのバージョンについては、GitHub上のchangelogを確認します。

DVWA/CHANGELOG.md at master · digininja/DVWA · GitHub
https://github.com/digininja/DVWA/blob/master/CHANGELOG.md

DVWAの正式版は、1.9が最新となっています。
これは、もうかなり古いです。

1.10をGitHubから取得できるので、これを利用するようにしましょう。

DVWAのシステム要件は、以下。

Apache
PHP
MariaDB（MySQLでも可）

DVWA自体が、PHPで開発されたWebシステムに過ぎません。
そのため、システム要件は上記のようになります。

今回は、UbuntuでDVWAを動かすことを想定しています。
その前提として、Ubuntuへ各種ソフトウェアをインストールする必要があります。

WindowsにDVWAをインストールする方法は、次の記事でまとめています。

Apacheについては、最新版をインストールしましょう。
DVWAを外部公開しないとは言え、致命的な脆弱性は避けておきたいです。

PHPとMariaDBについては、最新にこだわる必要はありません。
そこで公式で紹介されているインストールコマンドを利用します。

apt-get -y install mariadb-server php php-mysqli php-gd libapache2-mod-php

以上、DVWAのシステム要件を説明しました。
次は、DVWAのインストールを説明します。

DVWAのインストール

DVWAのインストールは、次の手順に沿って説明します。

DVWAのダウンロード・設置
DVWAの設定ファイル作成
DVWA用データベースの作成
DVWAのセットアップ

DVWAのダウンロード・設置

ドキュメントルート以下で作業します。
Apacheのデフォルトであれば、「/var/www/html」以下となります。

場所を移動できたら、gitコマンドでプロジェクトを取得します。
各自の環境に合わせて「sudo」を付けてください。

$ pwd 
/var/www/html
$ git clone https://github.com/digininja/DVWA.git

処理が完了したら、DVWAディレクトリを確認できます。
これでDVWAのダウンロード・設置は、完了となります。

DVWAの設定ファイル作成

設置したDVWA以下のsetup.phpにアクセスしましょう。
今回の検証では、「192.168.33.200」をIPアドレスに持つサーバーにDVWAをインストールしています。

IPアドレスの確認方法は、次の記事で説明しています。

今回は、次のようなURLにアクセスすることになります。

　http://192.168.33.200/DVWA/setup.php

このURLにブラウザでアクセスすると、次のようなエラーが表示されるはずです。

DVWA System error - config file not found. Copy config/config.inc.php.dist to config/config.inc.php and configure to your environment.

デフォルトでは、設定ファイルが存在していません。
設定ファイルは、DVWA/configに設置することになります。

まず、その場所に移動。
テンプレとして用意されているファイルをそのまま利用します。

$ mv config.inc.php.dist config.inc.php

config.inc.php

<?php 
# If you are having problems connecting to the MySQL database and all of the variables below are correct 
# try changing the 'db_server' variable from localhost to 127.0.0.1. Fixes a problem due to sockets. 
#   Thanks to @digininja for the fix. 
# Database management system to use 
$DBMS = 'MySQL'; 
#$DBMS = 'PGSQL'; // Currently disabled 
# Database variables 
#   WARNING: The database specified under db_database WILL BE ENTIRELY DELETED during setup. 
#   Please use a database dedicated to DVWA. 
# 
# If you are using MariaDB then you cannot use root, you must use create a dedicated DVWA user. 
#   See README.md for more information on this. 
$_DVWA = array(); 
$_DVWA[ 'db_server' ]   = '127.0.0.1'; 
$_DVWA[ 'db_database' ] = 'dvwa'; 
$_DVWA[ 'db_user' ]     = 'dvwa'; 
$_DVWA[ 'db_password' ] = 'p@ssw0rd'; 
$_DVWA[ 'db_port'] = '3306'; 
# ReCAPTCHA settings 
#   Used for the 'Insecure CAPTCHA' module 
#   You'll need to generate your own keys at: https://www.google.com/recaptcha/admin 
$_DVWA[ 'recaptcha_public_key' ]  = ''; 
$_DVWA[ 'recaptcha_private_key' ] = ''; 
# Default security level 
#   Default value for the security level with each session. 
#   The default is 'impossible'. You may wish to set this to either 'low', 'medium', 'high' or impossible'. 
$_DVWA[ 'default_security_level' ] = 'impossible'; 
# Default PHPIDS status 
#   PHPIDS status with each session. 
#   The default is 'disabled'. You can set this to be either 'enabled' or 'disabled'. 
$_DVWA[ 'default_phpids_level' ] = 'disabled'; 
# Verbose PHPIDS messages 
#   Enabling this will show why the WAF blocked the request on the blocked request. 
#   The default is 'disabled'. You can set this to be either 'true' or 'false'. 
$_DVWA[ 'default_phpids_verbose' ] = 'false'; 
# Default locale 
#   Default locale for the help page shown with each session. 
#   The default is 'en'. You may wish to set this to either 'en' or 'zh'. 
$_DVWA[ 'default_locale' ] = 'en'; 
define ("MYSQL", "mysql"); 
define ("SQLITE", "sqlite"); 
# SQLi DB Backend 
#   Use this to switch the backend database used in the SQLi and Blind SQLi labs. 
#   This does not affect the backend for any other services, just these two labs. 
#   If you do not understand what this means, do not change it. 
$_DVWA["SQLI_DB"] = MYSQL; 
#$_DVWA["SQLI_DB"] = SQLITE; 
#$_DVWA["SQLITE_DB"] = "sqli.db"; 
?>

この設定ファイル内にDVWAで用いるデータベースに関しても記載されています。
基本的には、変更せずに利用しましょう。

DVWA用データベースの作成

DVWA用のデータベースを新規に作成します。
そして、そのデータベースを利用するDBユーザーも新規で作成することになります。

まずは、データベースに接続。

$ sudo mariadb

データベース・ユーザーは、config.inc.phpの値をもとに用意します。

$_DVWA = array(); 
$_DVWA[ 'db_server' ]   = '127.0.0.1'; 
$_DVWA[ 'db_database' ] = 'dvwa'; 
$_DVWA[ 'db_user' ]     = 'dvwa'; 
$_DVWA[ 'db_password' ] = 'p@ssw0rd'; 
$_DVWA[ 'db_port'] = '3306';

上記内容をもとにクエリを実行します。

MariaDB [(none)]> create database dvwa;
Query OK, 1 row affected (0.000 sec)
MariaDB [(none)]> create user dvwa@localhost identified by 'p@ssw0rd';
Query OK, 0 rows affected (0.000 sec)
MariaDB [(none)]> grant all on dvwa.* to dvwa@localhost;
Query OK, 0 rows affected (0.000 sec)
MariaDB [(none)]> flush privileges;
Query OK, 0 rows affected (0.000 sec)
MariaDB [(none)]>

DVWAのセットアップ

準備が整えば、セットアップを行います。
セットアップページにアクセス。

　http://192.168.33.200/DVWA/setup.php

状況を自動的にチェックしてくれます。

「No」と記載されている箇所は、書き込み権限を対象に付与します。
DVWA自体は外部公開することはないので、次のように適当で構いません。

$ chmod 777 /var/www/html/DVWA/hackable/uploads/ 
$ chmod 777 /var/www/html/DVWA/external/phpids/0.6/lib/IDS/tmp/phpids_log.txt 
$ chmod 777 /var/www/html/DVWA/config

再度チェック後、次のように「Yes」になればOKです。