XVWA es una aplicación web codificada de manera incorrecta, la cual ha sido escrita en PHP/MySQL para ayudar a los entusiastas a aprender sobre seguridad en aplicaciones web. No se recomienda hospedar esta aplicación web en línea, pues está diseñada para ser “eXtremadamente Vulnerable”. Se recomienda hospedar la aplicación web en un entorno local controlado, para practicar la afilada experiencia ninja de seguridad en aplicaciones web utilizando las herramientas preferidas.

Es totalmente legal romper esta aplicación web. La idea es evangelizar a la comunidad sobre seguridad en aplicaciones web de una manera fundamental y sencilla. Además de aprender y adquirir esta experiencia para propósitos benignos.

A continuación se describe el procedimiento para instalar la versión de XVWA más reciente disponible al momento de escribir el presente texto.

Descomprimir el archivo descargado desde el sitio web oficial del proyecto en el directorio web raíz.

Definir en el archivo de nombre “config.php” la información de la base de datos a utilizar.

>

Adicionalmente realizar los siguiente cambios en el archivo de configuración de nombre “/etc/php5/apache2/php.ini”.

file_uploads = on
allow_url_fopen = on
allow_url_include = on

Ingresar a la aplicación para configurar la base de datos y las tablas accediendo a la siguiente URL:

http: // DireccionIP/xvwa/setup/

Hacer clic en el botón de nombre “Submit / Reset”. Los mensajes expuestos indican la culminación de una configuración satisfactoria.

Hacer clic en el botón ubicado en el lado superior derecho de nombre “Login”, para luego escribir las credenciales por defecto de XVWA.

Ahora se puede empezar a atacar las diversas vulnerabilidades incluidas en XVWA.

Importante

Recordar no hospedar esta aplicación en un entorno de producción. XVWA es una aplicación web completamente vulnerable, la cual puede conducir a un completo compromiso del sistema subyacente.

Fuentes:

https://github.com/s4n7h0/xvwa