セキュリティツールの実験台に OWASP BWA をセットアップする
Kali Linux に含まれる様々な Web 系のスキャンツールを試すために、OWASP BWA をセットアップしたのでそのときの記録をまとめます。
2015年以降更新されていませんが、脆弱性を試すので更新されていない方がよいですね。
環境
- OWASP BWA 1.2
- Oracle Virtual Box 6.1.22
OWASP BWA とは?
OWASP BWA (Broken Web Applications)とは、脆弱性を抱えたWebアプリや、古いバージョンのCRM等が多数収められた、セキュリティの学習者向けの仮想マシンイメージです。
セットアップ方法
ダウンロードしてVirtualBox にインポートする
Oracle VirtualBox はダウンロードしインストールされている前提で話を進めます。もしインストール出来ていなければそちらからインストールしてください。
まず、sourceforge からOVA ファイルをダウンロードしてきます。
ダウンロードが終わったら OVA ファイルをダブルクリックすると、以下の画面のように VirtualBox が立ち上がりインポートの画面が出てきます。
![f:id:kawa_xxx:20210617232415p:plain](https://cdn-ak.f.st-hatena.com/images/fotolife/k/kawa_xxx/20210617/20210617232415.png)
すべてデフォルトのままで、インポートボタンを押すとvm と言う名前の仮想マシンが登録されます。
あとでわからなくならないように名前を owasp bwa 等に変更しておきましょう。
ネットワークの設定を変更する
今回の記事ではセットアップするだけですが、次回以降 WPScan やJoomScan等で遊ぶので、同じく仮想マシンとして存在している KaliLinux からも通信出来るように、ネットワークの設定を変更しておきます。
以下スクリーンショットのように、ネットワークアダプタを NATネットワークに変更しておきます。
![f:id:kawa_xxx:20210617232424p:plain](https://cdn-ak.f.st-hatena.com/images/fotolife/k/kawa_xxx/20210617/20210617232424.png)
起動してIPを確認する
OWASP WBA の仮想マシンを起動すると、プロンプトに脆弱だからホストオンリーかNATのネットワークで使って!という注意書きとともに、仮想マシンに割り当てられたIP、ログインするためのIDとパスワードが表示されています。
![f:id:kawa_xxx:20210617232430p:plain](https://cdn-ak.f.st-hatena.com/images/fotolife/k/kawa_xxx/20210617/20210617232430.png)
今回はWebの脆弱性を試す環境を構築しているだけなので、表示されているIPに Kali Linux からアクセスしてみましょう。
どのようなWebアプリがあるのか?
プロンプトに表示されていたIPアドレスにブラウザでアクセスしてみると、以下のスクリーンショットのような、収録されている脆弱で古いWebアプリへのリンク集になっています。
![f:id:kawa_xxx:20210617232436p:plain](https://cdn-ak.f.st-hatena.com/images/fotolife/k/kawa_xxx/20210617/20210617232436.png)
試しにWordpressのリンクをクリックしてみると、Broken WordPress というサイトが表示されました。
![f:id:kawa_xxx:20210617232444p:plain](https://cdn-ak.f.st-hatena.com/images/fotolife/k/kawa_xxx/20210617/20210617232444.png)
これで、各種Web系スキャンツールに合わせた環境の準備ができました。今後各種セキュリティスキャナで遊んで行きたいと思います。