Software WebSecurity

練習用脆弱Webアプリケーションの調査

投稿日:2013-12-26 更新日:

OWASP

無料で使える練習用脆弱Webアプリケーション(やられWebアプリケーション?)は、結構いろいろあってそれぞれ何が違うのかが分かりにくいです。一度整理してみたかったのでいくつか調べてみました。

Badstore

公式サイト

Badstore.net: See how the hackers think. Download this demo.

メモ

  • ISOイメージで配布されている。
  • 現在のバージョンは 1.2
  • 公式ユーザーマニュアルの日付は 2005年2月1日。

BodgeIt Store

公式サイト

bodgeit – The BodgeIt Store is a vulnerable web application suitable for pen testing – Google Project Hosting

メモ

  • warファイルで配布されている。
    • Javaを使ってる人にとっては手軽。
  • Apache License 2.0
  • 現在のバージョンは 1.4、リリースは 2012年7月。

Gruyere

公式サイト

Web Application Exploits and Defenses

メモ

  • GruyereはWebアプリケーションである。
  • この codelab はバグを見つけるのが目的
  • Pythonで書かれている。
  • AppEngineで動いている。
  • ローカルで動かすこともできる(Pythonのプログラム)。
  • 2010年からサービスが始まった。
  • ソースコードをダウンロードしてファイルのステータスを見たら、Modifyの値が 2013年3月だった。

moth

公式サイト

:: moth – Bonsai Information Security ::

メモ

  • VMwareイメージで配布されている。
  • 現時点でダウンロードできるのは、moth-v0.6.7z であり、日付は 2009年5月5日になっている。

OWASP BWA (Broken Web Applications Project)

公式サイト

メモ

VirtualBoxへのインストール手順

参考:Web Application Security Lab with OWASP-bwa | Sherlock

ポイント
  • OS Typeには、“Linux”、Versionには “Ubuntu” を選択する。
    • OWASP BWAは、Ubuntuをベースにしているため。
  • ハードディスクの選択では、「OWASP Broken Web Apps-cl1.vmdk」を選ぶ。
  • これはVirtualBoxに限らないが、Bridge接続設定にはしない方がよい。
  • username: “root”, password: “owaspbwa”

OWASP Mutillidae

公式サイト

メモ

  • 実際に存在するようなWebサイトが用意されているわけではなく、脆弱性を実践的に学ぶためのページが用意されている。
  • SamuraiWTF, Rapid7 Metasploitable-2, OWASP BWA にプリインストールされている。
  • Webの新しい機能に基づいた内容もある(HTML5, JSON, REST, etc.)。
  • 脆弱性の分類に、OWASP TOP 10 も使用されている。
  • PHPでできている。
  • 現時点での最新バージョンは 2.6.7で、2013年11月17日に更新されている。
  • ライセンス:GNU GPL v3 License

OWASP WebGoat

公式サイト

メモ

  • 実際に存在するようなWebサイトが用意されているわけではなく、脆弱性を実践的に学ぶためのページが用意されていてレッスンを進めていく。
  • J2EE, .NET用がある。
  • warファイルが提供されている。
  • Webアプリケーションのセキュリティのためのインタラクティブな教育的環境としてデファクトスタンダードになることを目指している。
  • 30以上のレッスンがある。
  • 2013年10月7日時点の最新安定版バージョンは、5.4(アップロードされたのは2012年4月)

まとめ

  • Badstore, moth は更新が止まっているみたいです。
  • それ以外は、OWASP BWA に含まれているので OWASP BWA だけダウンロードすればよさそう。
  • いろいろな脆弱性をレッスン形式で学ぶには OWASP WebGoat, OWASP Mutillidae を使います。
  • 現実にありそうなWebサイトに対して脆弱性を見つける練習をするなら BodgeIt Store, Gruyere を使います。
Pocket

-Software, WebSecurity
-, , ,

執筆者:


  1. […] 練習用脆弱Webアプリケーションの調査 […]

comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


*

おすすめ記事&スポンサーリンク

関連記事

OWASP ZAP の Persist session と Snapshot session について

OWASP ZAPで収集した(セッション)データについて 通常、ZAPで収集したセッションデータは、以下のユーザディレクトリ直下のsessionディレクトリに保存されます。 Windows ホームディ …

OWASP ZAP 2.4 のデータ保存について

もうすぐリリースされる OWASP ZAP 2.4 では、起動時に以下のダイアログが表示されます。 ZAP起動時に表示されるダイアログ これは ZAPを使用することで溜まっていくデータをどこにどういう …

ウェブアプリケーションを開発しながら、手軽に脆弱性検査する方法

以前、OWASP ZAP に追加された attack mode の概要 というエントリを書きましたが、このATTACK modeを使った簡単なセキュリティ検査の手順をメモしておきます。この機能を使えば …

OWASP ZAPのフィルタ機能についてのメモ

29日に行われた OWASP DAY というイベントの中で Proxy War というプレゼンがあったようで、スライドが公開されていました。この中では Fiddler, BurpSuite, OWAS …

ドキュメントルートに mvコマンドでファイルを持ってくると、ブラウザからそのファイルにアクセスできない問題(SELinuxが原因の場合)

忘れがちなのでメモしておきます。 環境 OS: CentOS 7 /var/www/ 以下にディレクトリが作ってあり、そこをドキュメントルートにしている。 SELinuxを有効にしている。 問題となる …


lathe