README_RU.md 2.9 KB
Установка уязвимого веб приложения (dvwa) в Яндекс Облаке (с помощью terraform) для тестирования managed WAF
Ссылка на видео-обзор на youtube - https://www.youtube.com/watch?v=r7Dxv_as24E
Terraform playbook создаст:
- новую vpc network и vpc subnet;
- внешний vpc address;
- security group для доступа к приложению;
- VM на базе Yandex Container Solution c запущенным docker контейнером с Damn Vulnerable Web Application (DVWA)
Пререквизиты
- bash
- terraform
cli yandex cloud, пользователь (роль: admin или editor на уровне folder)
Установка
скопировать файлы репозитория с помощью git:
git clone https://github.com/mirtov-alexey/dvwa_and_managed_waf.gitзаполнить переменные в файле - "variables.tf" (в поле token необходимо ввести либо oauth token пользователя либо путь к файлу ключа service account)
в файле "provider.tf" указать
token = var.token(для аутентификациии пользователя) илиservice_account_key_file = var.token(для аутентификации от service account)перейти в папку с файлами и запустить terraform init
cd ./dvwa_and_managed_waf/terraform initдалее запустить terraform apply
terraform applyРезультаты установки
По результату установки в командной строке будет показан внешний ip адрес:
Далее при переходе по адресу через браузер вы должны видеть следующее:
введите логин: admin, пароль: password
в самом низу страницы будет кнопка "create /reset database" - нажмите ее
далее внизу нажмите login
во вкладке "DVWA Security" поменяйте уровень на "low"
перейдите во вкладку "SQL Injection" и введите в поле User ID следующее:
%' and 1=0 union select null, concat(user,':',password) from users #
