2021.06.17 2022.06.05

セキュリティツールの実験台に OWASP BWA をセットアップする

kawa.xxx

記事内に商品プロモーションを含む場合があります

Kali Linux に含まれる様々な Web 系のスキャンツールを試すために、OWASP BWA をセットアップしたのでそのときの記録をまとめます。

2015年以降更新されていませんが、脆弱性を試すので更新されていない方がよいですね。

環境

OWASP BWA （Broken Web Applications）とは、脆弱性を抱えたWebアプリや、古いバージョンのCRM等が多数収められた、セキュリティの学習者向けの仮想マシンイメージです。

Oracle VirtualBox はダウンロードしインストールされている前提で話を進めます。もしインストール出来ていなければそちらからインストールしてください。

ダウンロードが終わったら OVA ファイルをダブルクリックすると、以下の画面のように VirtualBox が立ち上がりインポートの画面が出てきます。

すべてデフォルトのままで、インポートボタンを押すとvm と言う名前の仮想マシンが登録されます。

あとでわからなくならないように名前を owasp bwa 等に変更しておきましょう。

今回の記事ではセットアップするだけですが、次回以降 WPScan やJoomScan等で遊ぶので、同じく仮想マシンとして存在している KaliLinux からも通信出来るように、ネットワークの設定を変更しておきます。

以下スクリーンショットのように、ネットワークアダプタを NATネットワークに変更しておきます。

OWASP WBA の仮想マシンを起動すると、プロンプトに脆弱だからホストオンリーかNATのネットワークで使って！という注意書きとともに、仮想マシンに割り当てられたIP、ログインするためのIDとパスワードが表示されています。

今回はWebの脆弱性を試す環境を構築しているだけなので、表示されているIPに Kali Linux からアクセスしてみましょう。

プロンプトに表示されていたIPアドレスにブラウザでアクセスしてみると、以下のスクリーンショットのような、収録されている脆弱で古いWebアプリへのリンク集になっています。

試しにWordpressのリンクをクリックしてみると、Broken WordPress というサイトが表示されました。

これで、各種Web系スキャンツールに合わせた環境の準備ができました。今後各種セキュリティスキャナで遊んで行きたいと思います。

ABOUT ME