DVWA (Damn Vulnerable Web App) est une application Web qui est sacrément vulnérable, écrite en PHP/MySQL. Elle est légère, facile à utiliser et pleine de failles à exploiter.
DVWA est destinée aussi bien aux professionnels de la sécurité qu’aux personnes souhaitant s’entraîner ou voulant en apprendre plus sur les attaques Web, afin de tester des techniques d'attaques dans un environnement légal.
Les principaux objectifs de DVWA
- Apprendre à identifier les vulnérabilités des sites et des applications web,
- Tester les techniques d’exploitation et d’intrusion,
- Apprendre les méthodes de correction pour mieux sécuriser des systèmes.
Les failles web disponibles dans l’application DVWA
- Attaque par force brute
- Exécution de commande via shell_exec en PHP
- Attaques CSRF
- Faille Include
- Attaques par SQL Injection
- Faille upload
- Attaques XSS
Installation de Damn Vulnerable Web App
- Tout d’abord, téléchargez l’application depuis GitHub, puis placez le dossier DVWA dans un serveur web local comme WAMP, XAMPP ou encore EasyPHP. Pour les instructions d'installation détaillées, vous pouvez consulter le lien suivant : Guide d'installation de DVWA.
- Ensuite, lancez l’application sur localhost http://127.0.0.1/dvwa/index.php. Un installeur vous permettra de l'installer en quelques clics.
Le login de l’application est : Admin et le mot de passe : password. - Pour installer la base de données, il suffit de cliquer sur setup dans le menu principal, puis de cliquer sur "Create / Reset Database".
Mettre en pratique quelques attaques sur DVWA
L’application DVWA contient trois niveaux de difficulté : Facile, moyen et difficile.
Je vous recommande de choisir le niveau facile pour commencer, afin de ne pas vous décourager. Bien entendu, vous pourrez passer aux niveaux suivants par la suite, mais il est préférable de commencer intelligemment.
Dans l’exploitation d’une faille, il vous faudra certaines qualités humaines pour réussir : patience, persévérance et discrétion. C’est une étape où il faudra utiliser au mieux vos connaissances en informatique, et je pèse mes mots. 🙂
Remarque : Pour changer le niveau de difficulté, cliquez sur "DVWA Security" et choisissez le niveau qui vous convient.
Attaque XSS DVWA
Afin de se familiariser et de se former à l'outil, nous allons commencer par la réalisation d’une attaque de type XSS permanente.
Pour cela, nous allons choisir « XSS stored » dans le menu à droite. Un joli formulaire avec deux champs est alors affiché. Normalement, la détection de la présence d’une faille XSS peut se faire en entrant un code JavaScript dans un champ de formulaire ou dans une URL.
Donc, tapez la ligne suivante dans le champ message de notre formulaire :
<script>alert('FunInformatique')</script>
Si une boîte de dialogue apparaît, on peut en conclure que l’application Web est sensible aux attaques de type XSS. Ce script s’exécutera à chaque fois qu’on visitera cette page.
Il vous reste maintenant à exploiter cette faille avec du code JavaScript plus utile, et si vous n'avez pas le temps de coder un script JavaScript, utilisez BeEF, un Framework d’Exploitation XSS.
Il faut savoir que dans le niveau facile, la sécurité est complètement absente dans l'application.
Attaque Upload sur DVWA
Dans cette partie, nous allons exploiter la faille upload (niveau facile). Pour cela, cliquez sur « Upload » dans le menu à droite.
La faille upload est une faille permettant d’uploader des fichiers avec une extension non autorisée (par exemple un fichier PHP).
Pour l’exploiter, nous allons essayer d’uploader un Web Shell PHP (comme C99 ou R57) sur le serveur, ce qui nous donnera le contrôle du serveur.
Pour cela, cliquez sur "Parcourir", sélectionnez votre shell PHP et validez.
Le fichier est uploadé avec succès. Il vous reste maintenant à exécuter le shell qui se trouve à l'adresse suivante : http://localhost/dvwa/hackable/uploads/
Vous pourrez vous amuser en local avec d'autres types de failles dans les différents niveaux. Entraînez-vous bien et testez vos compétences en test d'intrusion légalement. Cela vous donnera l'occasion de montrer ce que vous pouvez faire. 😉
Si vous rencontrez des difficultés lors d'un test, n'hésitez pas à me le faire savoir dans la section Questions/Réponses. Je serai là pour vous aider ! 🙂
Avez-vous trouvé ce guide utile ?
Nous aimerions connaître votre avis pour améliorer nos tutoriels. Avez-vous trouvé ce guide utile ?
Questions & Réponses
Posez votre question
Question :
Bonjour.
Merci de nous aider.
Pouvez vous nous informer les 12 vulnérabilités dans DVWA?

Réponse :
Bonjour Ahamada,
Pour exploiter les 12 vulnérabilités dans DVWA, regardez cette playlist: https://youtube.com/playlist?list=PLHJCYe4-CQx6H3QhpNTFwTJrEkr9rP45T
Question :
merci pour cette application mais je me rend compte quelle nest pas disponible actuellement sur sourceforge au travers de votre lien.
donc comment puis-je l'avoir?
Question :
Tres (trop) limitée
Question :
exeptionnel merci!
Question :
Merci pour cette application fantastique...