Software WebSecurity

OWASP BWA (The Broken Web Applications) とは?

投稿日:2014-02-23 更新日:

概要

OWASP BWA

以前、練習用脆弱Webアプリケーションの調査 という記事でも取り上げましたが、OWASP BWA(The Broken Web Applications)は、意図的に脆弱性を持たせたWebアプリケーションを複数導入した状態のUbuntu(Linuxのディストリビューションの1つ)を仮想マシンイメージにしたものです。

公式サイトでは以下のように説明されています。

BWA (The Broken Web Applications) プロジェクトは、既知の脆弱性を持ったいろいろなアプリケーションを稼働させる仮想マシンを提供します。これは以下のような人達を対象としています。

  • ウェブアプリケーションのセキュリティを学びたい
  • 手動での評価技術をテストしたい
  • 自動化ツールをテストしたい
  • ソースコード分析ツールをテストしたい
  • ウェブ攻撃を観察したい
  • WAF(Web Application Framework)や、それに類するコード技術をテストしたい

学びたい人やテストしたい人が、コンパイルや設定をしたり、ゼロからこのプロセスを行う場合に通常必要になる全てのものを揃えるといった面倒なことから解放します。

OWASP Broken Web Applications Project – OWASP

OWASP BWAを導入するだけで、いろいろなWebアプリケーションに対して脆弱性テストができるので非常に便利です。

OWASP BWAの仮想マシンを起動し、このホストに対してブラウザでアクセスすると、以下のようなページが表示されます。

OWASP BWA トップページ1

OWASP BWA トップページ2

OWASP BWA トップページ3

OWASP BWAはVMwareイメージで配布されていますが、VirtualBoxでも使用できます。それについては、以前の記事 練習用脆弱Webアプリケーションの調査 を参照して下さい。

Webアプリケーションのカテゴリ

上記のトップページ画像にあるように、OWASP BWAに含まれるWebアプリケーションは以下のカテゴリに分類されています。

1. トレーニング・アプリケーション (Training Applications)

  • 特定の脆弱性毎に学べるようにガイドしてくれるWebアプリケーションです。

2. 現実的で意図的に脆弱なアプリケーション (Realistic, Intentionally Vulnerable Applications)

  • 現実的なWebアプリケーションに見えるWebアプリケーション(実際は幅広い脆弱性を持っている)です。

3. 実際のアプリケーションの古いバージョン (Old Versions of Real Applications)

  • 既知の問題を持ったオープンソースアプリケーションです。

4. ツールテストのためのアプリケーション (Applications for Testing Tools)

  • Webアプリケーション・セキュリティ・スキャナのような自動化ツールをテストするためのアプリケーションです。

5. ページもしくは小さなアプリケーションのデモ (Demonstration Pages / Small Applications)

  • 特定のコンセプトをデモするために、脆弱性を持たせた小さなアプリケーションです。

6. OWASP デモ・アプリケーション (OWASP Demonstration Applications)

  • OWASPアプリケーションのデモで、脆弱性は持っていません。

Webアプリケーション

  • カテゴリ毎に含まれるWebアプリケーションは以下になります。

1. トレーニング・アプリケーション (Training Applications)

  • OWASP WebGoat
    • OWASP WebGoat
  • OWASP WebGoat.NET
    • OWASP WebGoat.NET
  • OWASP ESAPI Java SwingSet Interactive
    • OWASP ESAPI Java SwingSet Interactive
  • OWASP Mutillidae II
    • OWASP Mutillidae II
  • OWASP RailsGoat
    • OWASP RailsGoat
  • OWASP Bricks
    • OWASP Bricks
  • DVWA (Damn Vulnerable Web Application)
    • Damn Vulnerable Web Application
  • Ghost
    • Ghost
  • Magical Code Injection Rainbow
    • Magical Code Injection Rainbow

2. 現実的で意図的に脆弱なアプリケーション (Realistic, Intentionally Vulnerable Applications)

  • OWASP Vicnum
    • OWASP Vicnum
  • OWASP 1-Liner
    • OWASP 1-Liner
  • Google Gruyere
    • Google Gruyere
  • Hackxor
    • Hackxor
  • WackoPicko
    • WackoPicko
  • BodgeIt
    • BodgeIt
  • Cyclone
    • Cyclone
  • Peruggia
    • Peruggia

3. 実際のアプリケーションの古いバージョン (Old Versions of Real Applications)

  • WordPress
    • WordPress
  • OrangeHRM
    • OrangeHRM
  • GetBoo
    • GetBoo
  • GTD-PHP
    • GTD-PHP
  • Yazd
    • Yazd
  • WebCalendar
    • WebCalendar
  • Gallery2
    • Gallery2
  • Tiki Wiki
    • Tiki Wiki
  • Joomla
    • Joomla
  • AWStats
    • AWStats

4. ツールテストのためのアプリケーション (Applications for Testing Tools)

  • OWASP ZAP-WAVE
    • OWASP ZAP-WAVE
  • WAVSEP
    • WAVSEP
  • WIVET
    • WIVET

5. ページもしくは小さなアプリケーションのデモ (Demonstration Pages / Small Applications)

  • OWASP CSRFGuard Test Application
    • OWASP CSRFGuard Test Application
  • Mandiant Struts Forms
    • Mandiant Struts Forms
  • Simple ASP.NET Forms
    • Simple ASP.NET Forms
  • Simple Form with DOM Cross Site Scripting
    • Simple Form with DOM Cross Site Scripting

6. OWASP デモ・アプリケーション (OWASP Demonstration Applications)

  • OWASP AppSensor Demo Application
    • OWASP AppSensor Demo Application

関連サイト

[最終更新日: 2014年3月7日]

Pocket

-Software, WebSecurity
-, ,

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


*

おすすめ記事&スポンサーリンク

関連記事

OWASP ZAP 2.4 のデータ保存について

もうすぐリリースされる OWASP ZAP 2.4 では、起動時に以下のダイアログが表示されます。 ZAP起動時に表示されるダイアログ これは ZAPを使用することで溜まっていくデータをどこにどういう …

MSYS2のターミナルからWindowsのVim(GUI版)が実行されていることを判別する

「MSYS2のターミナルからWindowsのVim(GUI版)が起動されたことを、Vimの中から判別する」方法を調べていたんですが、なかなか見つからず、若干苦し紛れですが以下の Vimscriptで判 …

GitHubに画像ファイルを保存してREADME.mdで表示する方法

GitHubのレポジトリページにはREADME.mdの内容が表示されますが、その中に画像を表示したい場合どうするのがよいでしょうか? GitHub上にその画像をアップロードして参照できれば、ローカルや …

Laravel 5 の Global Middleware ではルートの名前がとれない?

※ ここで「ルートの名前」と言っているのは名前付きルートによる名前のことです。 Laravel 5 には Middleware という機能が組み込まれていて、コントローラの処理が実行される前にいろいろ …

OWASP ZAP の Structural Parameters 設定項目

OWASP ZAP には Structural Parameters という設定項目があります。 これは SPA(Single Page Application)な Webアプリケーションのために用意 …


lathe