かわろぐ

技術、セキュリティ、その他もろもろ

MENU

セキュリティツールの実験台に OWASP BWA をセットアップする

Kali Linux に含まれる様々な Web 系のスキャンツールを試すために、OWASP BWA をセットアップしたのでそのときの記録をまとめます。

2015年以降更新されていませんが、脆弱性を試すので更新されていない方がよいですね。

環境

  • OWASP BWA 1.2
  • Oracle Virtual Box 6.1.22

OWASP BWA とは?

OWASP BWA (Broken Web Applications)とは、脆弱性を抱えたWebアプリや、古いバージョンのCRM等が多数収められた、セキュリティの学習者向けの仮想マシンイメージです。

セットアップ方法

ダウンロードしてVirtualBox にインポートする

Oracle VirtualBox はダウンロードしインストールされている前提で話を進めます。もしインストール出来ていなければそちらからインストールしてください。

まず、sourceforge からOVA ファイルをダウンロードしてきます。

ダウンロードが終わったら OVA ファイルをダブルクリックすると、以下の画面のように VirtualBox が立ち上がりインポートの画面が出てきます。

f:id:kawa_xxx:20210617232415p:plain

すべてデフォルトのままで、インポートボタンを押すとvm と言う名前の仮想マシンが登録されます。

あとでわからなくならないように名前を owasp bwa 等に変更しておきましょう。

ネットワークの設定を変更する

今回の記事ではセットアップするだけですが、次回以降 WPScan やJoomScan等で遊ぶので、同じく仮想マシンとして存在している KaliLinux からも通信出来るように、ネットワークの設定を変更しておきます。

以下スクリーンショットのように、ネットワークアダプタを NATネットワークに変更しておきます。

f:id:kawa_xxx:20210617232424p:plain

起動してIPを確認する

OWASP WBA の仮想マシンを起動すると、プロンプトに脆弱だからホストオンリーかNATのネットワークで使って!という注意書きとともに、仮想マシンに割り当てられたIP、ログインするためのIDとパスワードが表示されています。

f:id:kawa_xxx:20210617232430p:plain

今回はWebの脆弱性を試す環境を構築しているだけなので、表示されているIPに Kali Linux からアクセスしてみましょう。

どのようなWebアプリがあるのか?

プロンプトに表示されていたIPアドレスにブラウザでアクセスしてみると、以下のスクリーンショットのような、収録されている脆弱で古いWebアプリへのリンク集になっています。

f:id:kawa_xxx:20210617232436p:plain

試しにWordpressのリンクをクリックしてみると、Broken WordPress というサイトが表示されました。

f:id:kawa_xxx:20210617232444p:plain

これで、各種Web系スキャンツールに合わせた環境の準備ができました。今後各種セキュリティスキャナで遊んで行きたいと思います。