Damn Vulnerable Web Application
Le confinement et le télétravail ont obligé les professionnels à se concentrer sur la sécurité de leur système d’information. Et dans le même temps, les organismes de formations à me faire appel en tant que consultant et formateur en cybersécurité Linux…
J’en profite donc pour partager un dockerfile pour DVWA que j’ai « amélioré » pour permettre à mes stagiaires d’exercer leurs talents de pen-testers…
N.B. DVWA est une application web avec des exercices pour les pen-testeurs…
Mon Dockerfile:
FROM vulnerables/web-dvwa
ENV DEBIAN_FRONTEND noninteractive
# stretch est passé des dépôts officiels aux archives debian
RUN sed -i /security/d /etc/apt/sources.list
RUN sed -i /stretch-updates/d /etc/apt/sources.list
RUN sed -i s/deb.debian.org/archive.debian.org/g /etc/apt/sources.list
RUN apt update
# on installe wget et netcat pour les hacks
RUN apt install -y wget netcat
# on modifie php.ini en suivant les recommandations de dvwa
RUN sed -i 's/allow_url_include = Off/allow_url_include = On/' /etc/php/7.0/apache2/php.ini
# on preconfigure phpmyadmin
RUN echo "phpmyadmin phpmyadmin/dbconfig-install boolean true" | debconf-set-selections
RUN echo "phpmyadmin phpmyadmin/mysql/admin-pass password ''" | debconf-set-selections
RUN echo "phpmyadmin phpmyadmin/reconfigure-webserver multiselect apache2" | debconf-set-selections
# on installe phpmyadmin
RUN chown -R mysql:mysql /var/lib/mysql /var/run/mysqld;service mysql start; apt install -y phpmyadmin
Il ne vous reste plus qu’à construire votre image et à la lancer. Par exemple :
docker build -t dvwa .
docker run -d -p 8080:80 dvwa Connectez vous ensuite avec votre navigateur préféré à http://localhost:8080 et commencez à pentester ! Vous avez de quoi faire des exploits, j’en suis sûr !
Pour vous connecter à phpmyadmin, le login est app:vulnerables
P.S. j’ai une image prête à l’emploi. N’hésitez pas à me contacter.