Ga naar hoofdinhoud

Cheatsheet

Op deze pagina vind je alle handige commando's, opstartstappen en begrippen die je tijdens de DVWA-labs nodig hebt. Klik op een vraag om het antwoord te zien.

WSL​

Hoe start ik WSL op?

Open Windows PowerShell en voer dit commando uit:

wsl -d kali-linux

DVWA​

Hoe start ik DVWA?

Open Kali Linux in WSL en draai het volgende commando:

sudo systemctl start apache2.service

Ga daarna naar je browser (bijvoorbeeld Google Chrome) en open dit adres:

http://localhost/DVWA
Hoe log ik in op DVWA?

Gebruikersnaam: admin. Wachtwoord: password.

Wat stel ik nog in na de installatie?

Twee dingen:

  1. Ga naar Setup / Reset DB en klik onderaan op de knop Create / Reset Database.
  2. Ga naar DVWA Security, kies low en klik op Submit.

Linux-commando's​

whoami

Toont de naam van de gebruiker die op dit moment is ingelogd.

; (puntkomma)

Hiermee voer je meerdere commando's na elkaar uit. commando1 ; commando2 draait eerst het ene en daarna het andere, ook als het eerste mislukt.

&& (AND)

Voert het tweede commando alleen uit als het eerste succesvol is afgerond.

| (pipe)

Neemt de output van het eerste commando en geeft die als input door aan het tweede commando.

|| (OR)

Voert het tweede commando alleen uit als het eerste een fout oplevert.

cat /etc/passwd

Een veelgebruikt commando bij beveiligingstests. Het toont de inhoud van het bestand /etc/passwd, een lijst met alle geregistreerde gebruikers op een Linux-systeem.

Terminologie​

Command Injection

Een kwetsbaarheid waarbij een aanvaller onbedoeld besturingssysteem-commando's kan laten uitvoeren door de server waarop de webapplicatie draait.

Brute Force

Een aanvalsmethode waarbij systematisch alle mogelijke combinaties van wachtwoorden (of andere geheime data) worden geprobeerd totdat de juiste is gevonden.

SQL Injection (SQLi)

Een techniek waarbij een aanvaller kwaadaardige SQL-code in een invoerveld plaatst om de database van de webapplicatie te manipuleren of uit te lezen.

Cross-Site Scripting (XSS)

Een kwetsbaarheid waarbij een aanvaller kwaadaardige scripts (meestal JavaScript) kan injecteren in webpagina's die door andere bezoekers worden bekeken.

Cross-Site Request Forgery (CSRF)

Een aanval waarbij een slachtoffer onbewust een actie uitvoert op een website waar hij is ingelogd, doordat een aanvaller hem op een kwaadaardige link laat klikken.

File Inclusion (LFI/RFI)

Een kwetsbaarheid waarbij een applicatie bestanden insluit op basis van gebruikersinvoer. Dit kan leiden tot het uitlezen van gevoelige systeembestanden (Local File Inclusion) of het uitvoeren van externe scripts (Remote File Inclusion).

IDOR (Insecure Direct Object Reference)

Ook wel Authorization Bypass genoemd. Een kwetsbaarheid waarbij een gebruiker toegang krijgt tot data van anderen door simpelweg een ID in de URL of het verzoek aan te passen (bijvoorbeeld user_id=123 veranderen in user_id=124).