DVWA (Damn Vulnerable Web App) est une application Web qui est sacrément vulnérable, écrite en PHP/MySQL. Elle est légère, facile à utiliser et pleine de failles à exploiter.

DVWA est destinée aussi bien aux professionnels de la sécurité qu’aux personnes souhaitant s’entraîner ou voulant en apprendre plus sur les attaques Web, afin de tester des techniques d'attaques dans un environnement légal.

Les principaux objectifs de DVWA

  • Apprendre à identifier les vulnérabilités des sites et des applications web,
  • Tester les techniques d’exploitation et d’intrusion,
  • Apprendre les méthodes de correction pour mieux sécuriser des systèmes.

Les failles web disponibles dans l’application DVWA

Installation de Damn Vulnerable Web App

  • Tout d’abord, téléchargez l’application depuis GitHub, puis placez le dossier DVWA dans un serveur web local comme WAMP, XAMPP ou encore EasyPHP. Pour les instructions d'installation détaillées, vous pouvez consulter le lien suivant : Guide d'installation de DVWA.
  • Ensuite, lancez l’application sur localhost http://127.0.0.1/dvwa/index.php. Un installeur vous permettra de l'installer en quelques clics.
    Le login de l’application est : Admin et le mot de passe : password.
  • Pour installer la base de données, il suffit de cliquer sur setup dans le menu principal, puis de cliquer sur "Create / Reset Database".

Mettre en pratique quelques attaques sur DVWA

L’application DVWA contient trois niveaux de difficulté : Facile, moyen et difficile.

Je vous recommande de choisir le niveau facile pour commencer, afin de ne pas vous décourager. Bien entendu, vous pourrez passer aux niveaux suivants par la suite, mais il est préférable de commencer intelligemment.

Dans l’exploitation d’une faille, il vous faudra certaines qualités humaines pour réussir : patience, persévérance et discrétion. C’est une étape où il faudra utiliser au mieux vos connaissances en informatique, et je pèse mes mots. 🙂

Remarque : Pour changer le niveau de difficulté, cliquez sur "DVWA Security" et choisissez le niveau qui vous convient.

Attaque XSS DVWA

Afin de se familiariser et de se former à l'outil, nous allons commencer par la réalisation d’une attaque de type XSS permanente.
Pour cela, nous allons choisir « XSS stored » dans le menu à droite. Un joli formulaire avec deux champs est alors affiché. Normalement, la détection de la présence d’une faille XSS peut se faire en entrant un code JavaScript dans un champ de formulaire ou dans une URL.
Donc, tapez la ligne suivante dans le champ message de notre formulaire :

<script>alert('FunInformatique')</script>

Si une boîte de dialogue apparaît, on peut en conclure que l’application Web est sensible aux attaques de type XSS. Ce script s’exécutera à chaque fois qu’on visitera cette page.


Il vous reste maintenant à exploiter cette faille avec du code JavaScript plus utile, et si vous n'avez pas le temps de coder un script JavaScript, utilisez BeEF, un Framework d’Exploitation XSS.

Il faut savoir que dans le niveau facile, la sécurité est complètement absente dans l'application.

Attaque Upload sur DVWA

Dans cette partie, nous allons exploiter la faille upload (niveau facile). Pour cela, cliquez sur « Upload » dans le menu à droite.
La faille upload est une faille permettant d’uploader des fichiers avec une extension non autorisée (par exemple un fichier PHP).
Pour l’exploiter, nous allons essayer d’uploader un Web Shell PHP (comme C99 ou R57) sur le serveur, ce qui nous donnera le contrôle du serveur.

Pour cela, cliquez sur "Parcourir", sélectionnez votre shell PHP et validez.

Le fichier est uploadé avec succès. Il vous reste maintenant à exécuter le shell qui se trouve à l'adresse suivante : http://localhost/dvwa/hackable/uploads/

Vous pourrez vous amuser en local avec d'autres types de failles dans les différents niveaux. Entraînez-vous bien et testez vos compétences en test d'intrusion légalement. Cela vous donnera l'occasion de montrer ce que vous pouvez faire. 😉

Si vous rencontrez des difficultés lors d'un test, n'hésitez pas à me le faire savoir dans la section Questions/Réponses. Je serai là pour vous aider ! 🙂

À propos de l'auteur :

Ahmed el jaouari

Ahmed EL JAOUARI

Ahmed, fondateur de la plateforme FunInformatique, est diplômé en ingénierie informatique et passionné par la cybersécurité. Avec sa plateforme, il propose des guides pratiques et des tutoriels visuels visant à rendre les technologies numériques accessibles à tous, même aux débutants. Son objectif est de simplifier l'apprentissage des outils numériques en le rendant à la fois intuitif, ludique et engageant.

Questions & Réponses

Posez votre question

Avatar de l'auteur de la question AHAMADA
Il y a 4 ans

Question :

Bonjour.
Merci de nous aider.
Pouvez vous nous informer les 12 vulnérabilités dans DVWA?

Avatar de l'auteur de la réponse FunInformatique
Il y a 4 ans

reply Réponse :

Bonjour Ahamada,
Pour exploiter les 12 vulnérabilités dans DVWA, regardez cette playlist: https://youtube.com/playlist?list=PLHJCYe4-CQx6H3QhpNTFwTJrEkr9rP45T

Avatar de l'auteur de la question Joed Esli
Il y a 9 ans

Question :

merci pour cette application mais je me rend compte quelle nest pas disponible actuellement sur sourceforge au travers de votre lien.
donc comment puis-je l'avoir?

Avatar de l'auteur de la question webbeur
Il y a 10 ans

Question :

Tres (trop) limitée

Avatar de l'auteur de la question hedi
Il y a 11 ans

Question :

exeptionnel merci!

Avatar de l'auteur de la question salikh
Il y a 11 ans

Question :

Merci pour cette application fantastique...