OWASP BWA (The Broken Web Applications) とは?

概要

OWASP BWA

以前、練習用脆弱Webアプリケーションの調査 という記事でも取り上げましたが、OWASP BWA(The Broken Web Applications)は、意図的に脆弱性を持たせたWebアプリケーションを複数導入した状態のUbuntu(Linuxのディストリビューションの1つ)を仮想マシンイメージにしたものです。

公式サイトでは以下のように説明されています。

BWA (The Broken Web Applications) プロジェクトは、既知の脆弱性を持ったいろいろなアプリケーションを稼働させる仮想マシンを提供します。これは以下のような人達を対象としています。

  • ウェブアプリケーションのセキュリティを学びたい
  • 手動での評価技術をテストしたい
  • 自動化ツールをテストしたい
  • ソースコード分析ツールをテストしたい
  • ウェブ攻撃を観察したい
  • WAF(Web Application Framework)や、それに類するコード技術をテストしたい

学びたい人やテストしたい人が、コンパイルや設定をしたり、ゼロからこのプロセスを行う場合に通常必要になる全てのものを揃えるといった面倒なことから解放します。

OWASP Broken Web Applications Project – OWASP

OWASP BWAを導入するだけで、いろいろなWebアプリケーションに対して脆弱性テストができるので非常に便利です。

OWASP BWAの仮想マシンを起動し、このホストに対してブラウザでアクセスすると、以下のようなページが表示されます。

OWASP BWA トップページ1

OWASP BWA トップページ2

OWASP BWA トップページ3

OWASP BWAはVMwareイメージで配布されていますが、VirtualBoxでも使用できます。それについては、以前の記事 練習用脆弱Webアプリケーションの調査 を参照して下さい。

Webアプリケーションのカテゴリ

上記のトップページ画像にあるように、OWASP BWAに含まれるWebアプリケーションは以下のカテゴリに分類されています。

1. トレーニング・アプリケーション (Training Applications)

  • 特定の脆弱性毎に学べるようにガイドしてくれるWebアプリケーションです。

2. 現実的で意図的に脆弱なアプリケーション (Realistic, Intentionally Vulnerable Applications)

  • 現実的なWebアプリケーションに見えるWebアプリケーション(実際は幅広い脆弱性を持っている)です。

3. 実際のアプリケーションの古いバージョン (Old Versions of Real Applications)

  • 既知の問題を持ったオープンソースアプリケーションです。

4. ツールテストのためのアプリケーション (Applications for Testing Tools)

  • Webアプリケーション・セキュリティ・スキャナのような自動化ツールをテストするためのアプリケーションです。

5. ページもしくは小さなアプリケーションのデモ (Demonstration Pages / Small Applications)

  • 特定のコンセプトをデモするために、脆弱性を持たせた小さなアプリケーションです。

6. OWASP デモ・アプリケーション (OWASP Demonstration Applications)

  • OWASPアプリケーションのデモで、脆弱性は持っていません。

Webアプリケーション

  • カテゴリ毎に含まれるWebアプリケーションは以下になります。

1. トレーニング・アプリケーション (Training Applications)

  • OWASP WebGoat
    • OWASP WebGoat
  • OWASP WebGoat.NET
    • OWASP WebGoat.NET
  • OWASP ESAPI Java SwingSet Interactive
    • OWASP ESAPI Java SwingSet Interactive
  • OWASP Mutillidae II
    • OWASP Mutillidae II
  • OWASP RailsGoat
    • OWASP RailsGoat
  • OWASP Bricks
    • OWASP Bricks
  • DVWA (Damn Vulnerable Web Application)
    • Damn Vulnerable Web Application
  • Ghost
    • Ghost
  • Magical Code Injection Rainbow
    • Magical Code Injection Rainbow

2. 現実的で意図的に脆弱なアプリケーション (Realistic, Intentionally Vulnerable Applications)

  • OWASP Vicnum
    • OWASP Vicnum
  • OWASP 1-Liner
    • OWASP 1-Liner
  • Google Gruyere
    • Google Gruyere
  • Hackxor
    • Hackxor
  • WackoPicko
    • WackoPicko
  • BodgeIt
    • BodgeIt
  • Cyclone
    • Cyclone
  • Peruggia
    • Peruggia

3. 実際のアプリケーションの古いバージョン (Old Versions of Real Applications)

  • WordPress
    • WordPress
  • OrangeHRM
    • OrangeHRM
  • GetBoo
    • GetBoo
  • GTD-PHP
    • GTD-PHP
  • Yazd
    • Yazd
  • WebCalendar
    • WebCalendar
  • Gallery2
    • Gallery2
  • Tiki Wiki
    • Tiki Wiki
  • Joomla
    • Joomla
  • AWStats
    • AWStats

4. ツールテストのためのアプリケーション (Applications for Testing Tools)

  • OWASP ZAP-WAVE
    • OWASP ZAP-WAVE
  • WAVSEP
    • WAVSEP
  • WIVET
    • WIVET

5. ページもしくは小さなアプリケーションのデモ (Demonstration Pages / Small Applications)

  • OWASP CSRFGuard Test Application
    • OWASP CSRFGuard Test Application
  • Mandiant Struts Forms
    • Mandiant Struts Forms
  • Simple ASP.NET Forms
    • Simple ASP.NET Forms
  • Simple Form with DOM Cross Site Scripting
    • Simple Form with DOM Cross Site Scripting

6. OWASP デモ・アプリケーション (OWASP Demonstration Applications)

  • OWASP AppSensor Demo Application
    • OWASP AppSensor Demo Application

関連サイト

[最終更新日: 2014年3月7日]

Pocket

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*