はじめに

bWAPP は、いわゆる「やられWebアプリケーション」の1つです。以前から何度か紹介しているOWASP BWAにはデフォルトで入っていないのですが、ソースコードの変更を見ると、導入しようとしている様子が見られます。何か簡単な導入方法があるのかもしれませんが、よく分かりません;) (知っていたら教えて下さい)。変更されているスクリプトには bWAPPをセットアップする処理が書いてあるものもありますので、BWAを起動した後で、手動でこれらのファイルを持ってきて使うのもありなのだと思います。しかし今回は、地道な導入手順を説明します。

画面はこんな感じです。

デザインは公式サイトとあまり変わりません。

導入手順

1. BWAにrootでログインする。

仮想化アプリケーションのウィンドウ上で操作するか、別途ターミナルアプリケーションでssh接続します。

# ssh接続の場合
$ ssh root@your_bwa_host

2. bWAPP をダウンロードして解凍します。

$ cd /owaspbwa
$ wget -O bWAPPv2.1.zip http://sourceforge.net/projects/bwapp/files/bWAPP/bWAPPv2.1/bWAPPv2.1.zip/download
$ unzip bWAPPv2.1.zip

3. ブラウザからアクセスできるようにシンボリックリンクを作成します。

$ ln -s /owaspbwa/bWAPPv2.1/bWAPP /var/www/

4. ディレクトリのパーミッションを変更します。

$ cd bWAPPv2.1
$ chmod 777 passwords/
$ chmod 777 ./images/
$ chmod 777 documents/

5. データベースの設定を記述します。

$ vi bWAPP/adimin/settings.php

と言っても、$db_password = ""; のところに、”owaspbwa” をセットするだけです。

$db_password = "owaspbwa";

6. ブラウザでアクセスしてデータベースを生成します。

(1) 以下のURLにアクセスします。

• http://your\_bwa\_host/bWAPP/install.php

(2) ページが開いたら、”here” というリンクをクリックしてデータベースを生成します。

(3) “bWAPP has been installed successfully!” と表示されれば成功です。

(4) 後は、http://your\_bwa\_host/bWAPP/login.php にアクセスしてログインできます。

• ユーザー名：bee
• パスワード：bug

おまけ（OWASP BWAのトップページにbWAPPを表示する)

(1) /var/www/index.html を編集します。

$ vi /var/www/index.html

(2) 最初のほうにある

animatedcollapse.addDiv('bwapp', 'fade=1')

(3) “Magical Code Injection Rainbow” の右が丁度空いているので、そこに以下のタグを追記します。

  <td ><a href="javascript:animatedcollapse.toggle('bwapp')"><img src="./images/Knob_Add.png" width="20px" height="20px" border="0" title="More Info" /></a><a href="bWAPP">bWAPP</a>
         <div id="bwapp" style="width: 400px; background: #D2FBFF; display:none">
         <b>Version: </b>2.1<br />
         <b>Language: </b>PHP<br />
         <b>User Credentials (username/password): </b>bee/bug<br />
         <b>Link: </b><a href="https://www.itsecgames.com/">home page</a><br />
</div></td>

(4) ブラウザで BWA のトップページにアクセスすると、以下のように表示されます。

[最終更新日：2014年10月16日]