30-S10-基于DVWA的WEB渗透测试.doc

山东建筑大学计算机科学与技术学院

课程设计任务书

设计题目

基于DVWA的WEB渗透测试

已知技术参数和设计要求

1．基于DVWA平台，实现WEB渗透测试与演练。

2．设计要求：

2.1安装phpStudy。phpStudy是集成了Apache和MySql的集成环境，简化了PHP安装配置过程。

2.2安装与配置DVWA。DVWA是基于PHP和Mysql开发的WEB靶场练习平台，包含了常见的10大WEB漏洞。

2.3实施SQL注入攻击。

（1）进入DVWA，设置安全级别为低，选择SQL注入攻击。分别实施：正常体验；遍历数据库表，猜测SQL查询语句中的字段数；获取当前数据库名称、账号名、版本及操作系统等信息；猜测数据库中表的名字；猜测表中的字段名；猜测用户密码；对密码进行MD5破解；查看服务器端代码。

（2）设置DVWA安全级别为中和高，再次进行SQL注入攻击，对比分析注入的过程与结果。

2.4实施XSS攻击。

仿照2.3自拟方案，要包括反射和存储两种类型的XSS攻击。

设计内容与步骤

1.学习WEB应用攻击和DVWA测试平台等原理知识；

2.安装phpStudy、DVWA等靶场平台环境；

3.实施低级别DVWA中的SQL注入攻击；

4.实施中高级别DVWA中的SQL注入攻击；

5.实施低级别DVWA中的XSS攻击；

6.课程设计任务说明书。

设计工作计划与进度安排

1.WEB应用攻击及DVWA测试平台等知识学习4小时

2.安装phpStudy、DVWA等靶场平台环境6小时

3.实施低级别DVWA中的SQL注入攻击8小时

4.实施中高级别DVWA中的SQL注入攻击4小时

5.实施低级别DVWA中的XSS攻击8小时

6.课程设计说明书10小时

设计考核要求

1.中期检查35％

2.演示答辩40％

3.课程设计说明书25％

指导教师（签字）：教研室主任（签字）：