Установка уязвимого веб приложения (dvwa) в Яндекс Облаке (с помощью terraform) для тестирования managed WAF
Terraform playbook создаст:
- новую vpc network и vpc subnet;
- внешний vpc address;
- security group для доступа к приложению;
- VM на базе Yandex Container Solution c запущенным docker контейнером с Damn Vulnerable Web Application (DVWA)
- bash
- terraform
- cli yandex cloud, пользователь (роль: admin или editor на уровне folder)
- скопировать файлы репозитория с помощью git:
git clone https://github.com/mirtov-alexey/dvwa_and_managed_waf.git
- заполнить переменные в файле - "variables.tf" (в поле token необходимо ввести либо oauth token пользователя либо путь к файлу ключа service account)
- в файле "provider.tf" указать token = var.token (для аутентификациии пользователя) или service_account_key_file = var.token (для аутентификации от service account)
- перейти в папку с файлами и запустить terraform init
cd ./dvwa_and_managed_waf/
terraform init
- далее запустить terraform apply
terraform apply
-
По результату установки в командной строке будет показан внешний ip адрес:
-
Далее при переходе по адресу через браузер вы должны видеть следующее:
-
введите логин: admin, пароль: password
-
в самом низу страницы будет кнопка "create /reset database" - нажмите ее
-
далее внизу нажмите login
-
во вкладке "DVWA Security" поменяйте уровень на "low"
-
перейдите во вкладку "SQL Injection" и введите в поле User ID следующее: %' and 1=0 union select null, concat(user,':',password) from users #