OWASP Broken Web Applications Project

Описание OWASP Broken Web Applications Project

OWASP Broken Web Applications Project — это коллекция уязвимых веб-приложений, которые размещены в виртуальной машине.

Broken Web Applications (BWA) Project может быть интересен при:

изучении безопасности веб-приложений
тестировании ручных методик оценки
тестировании автоматизированных инструментов
тестировании инструментов анализа исходного кода
наблюдении за веб-атаками
тестировании файерволов веб-приложений (WAF) и подобных технологий

Главная цель программы — сберечь время пентестеров и профессионалов в сфере безопасности, которое им бы пришлось потратить на компилирование, настройку и каталогизацию с нуля всех собранных этих проектом программ.

Кроме коллекции уязвимых веб-приложений для безопасной тренировки в тестировании на проникновение, виртуальная машина также имеет подборку для тестирования инструментов, предназначенных для анализа веб-приложений.

Домашняя страница: https://github.com/chuckfw/owaspbwa/

Автор: Chuck Willis

Лицензия: бесплатная, GPLv2, лицензии входящих в состав проекта других продуктов

Справка по OWASP Broken Web Applications Project

Учётные данные для входа в ОС root:owaspbwa.

Имена пользователей и пароли приложений

Обычно приложения OWASP BWA настроены с административным аккаунтом, названным 'admin' с паролем 'admin', а аккаунт «обычного» пользователя назван 'user' с паролем 'user'. В некоторых случаях невозможен или не нужен дополнительный аккаунт.

Чтобы увидеть все списки учётных данных в браузере перейдите на IP виртуальной машины и нажмите зелёный крестик:

Управление

После загрузки, виртуальную машину можно администрировать несколькими различными техниками.

Административные интерфейсы:

SSH
Samba shares
Консоль входа
PHPMyAdmin (по адресу http://owaspbwa/phpmyadmin/)

Кстати, их присутствие не подразумевает их уязвимость — они там просто для обеспечения управления.

Во всех случаях используйте имя пользователя "root" и пароль "owaspbwa".

Руководство по OWASP Broken Web Applications Project

Включение и отключение основного набора правил ModSecurity в OWASP

Виртуальная машина поставляется с включённым Apache ModSecurity, но не используются наборы правил (поэтому ничего не блокируется и не записывается в журнал). Виртуальная машина обеспечивает простой механизм для включения и отключения OWASP ModSecurity Core Rule Set как это показано ниже. Цель этой функции — позволить пользователям из первых рук видеть эффективность (и ограничения) основных наборов правил (Core Rule Set) при ловле зловредных запросов.

Для ведения журнала (но не блокировки) любых запросов с использованием OWASP ModSecurity Core Rule Set, запустите следующую команду:

owaspbwa-modsecurity-crs-log.sh

Сообщения журнала будут сохраняться в /var/log/apache2/error.log (общий с \owaspbwa\var\log\apache2\error.log).

Чтобы и блокировать, и вести журнал запросов с использованием OWASP ModSecurity Core Rule Set, запустите:

owaspbwa-modsecurity-crs-block.sh

Для отключения всех правил ModSecurity (возвращение в исходное состояние, в котором виртуальная машина поставляется), запустите:

owaspbwa-modsecurity-crs-off.sh

Пользователи могут отредактировать основной набор правил в /etc/apache2/modsecurity-crs/ (совместно с \owaspbwa\etc\apache2\modsecurity-crs). Пользователи также вольны изменять конфигурацию Apache для использования совершенно других правил ModSecurity.

Ведение нужнала

Настройка ведения жунрала для всех компонентов в виртуальной машине были оставлены на настройках по умолчанию, но пользователи вольны отредактировать конфигурацию логгирования, чтобы увидеть влияние изменений.

Логи располагаются в директории /var/log/ (совместно с \owaspbwa\var\log). Все логи в свежей виртуальной машине удалены, следовательно все записи журнала, которые увидят пользователи, относятся к их собственной активности на этой системе.

Обновление компонентов из репозиториев

Различные компоненты виртуальной машины OWASP BWA могутр быть обновлены из их публичных репозиториев. Все такие обновления несут риск сломать соответствующее приложение, но имеют потенциал принести дополнительные функции без ожидания следующего выпуска виртуальной машины OWASP BWA.

Обычно, пользователи, которые желают эту функцию, пробуют сначала обновить все компоненты.

Все компоненты

Чтобы обновить файлы для OWASP BWA, с кодом приложений, которые доступны из публичных репозиториев кода, запустите команду:

owaspbwa-update-all.sh

Это может привести к ошибкам приложения, по разным причинам. Часто это случается из-за изменения структуры используемой приложением базы данных. Если это произошло, проверьте инструкции приложения на предмет повторной постройки базы данных. Некоторые приложения включают страницу или ссылку для автоматического перестроения базы данных.

Специфичный контент OWASP BWA

Код и файлы, которые недоступны в каких-либо публичных репозиториях сохраняются в SVN репозитории для OWASP BWA в Google Code. Их можно обновить запуском:

owaspbwa-update-owaspbwa-only.sh

Запуск этой команды также может обновить базы данных приложений, размещённых в виртуальной машине. Это обновление может принести проблемы с приложениями, которые имеют свои собственные репозитории, поскольку сами приложения этой командой не обновляются.

Состав OWASP Broken Web Applications Project

Приложения для тренировки

Приложения, разработанные для обучения, которые направляют пользователя к конкретным, намеренным уязвимостям:

OWASP WebGoat версии 5.4+SVN (Java)
OWASP WebGoat.NET версии 2012-07-05+GIT (ASP.NET)
OWASP ESAPI Java SwingSet Interactive версии 1.0.1+SVN (Java)
OWASP Mutillidae II версии 2.6.24+SVN (PHP)
OWASP RailsGoat (Ruby on Rails)
OWASP Bricks версии 2.2+SVN (PHP)
OWASP Security Shepherd версии 2.4+GIT (Java)
Ghost (PHP)
Magical Code Injection Rainbow версии 2014-08-20+GIT (PHP)
bWAPP версии 1.9+GIT (PHP)
Damn Vulnerable Web Application версии 1.8+GIT (PHP)

Реалистичные, намеренно уязвимые приложения

Приложения, которые имеют большое количество намеренных уязвимостей безопасности, но они созданы выглядеть и работать как настоящие приложения:

OWASP Vicnum версии 1.5 (PHP/Perl)
OWASP 1-Liner (Java/JavaScript)
Google Gruyere версии 2010-07-15 (Python)
Hackxor версии 2011-04-06 (Java JSP)
WackoPicko версии 2011-07-12+GIT (PHP)
BodgeIt версии 1.3+SVN (Java JSP)
Cyclone Transfers (Ruby on Rails)
Peruggia версии 1.2 (PHP)

Старые версии реальных приложения

Приложения с открытым исходным кодом с одной или более известными проблемами безопасности:

WordPress 2.0.0 (PHP, выпущен 31 декабря 2005 года) с плагинами: myGallery версии 1.2 и Spreadsheet for WordPress версии 0.6
OrangeHRM версии 2.4.2 (PHP, выпущен 7 мая 2009 года)
GetBoo версии 1.04 (PHP, выпущен 7 апреля 2008 года)
gtd-php версии 0.7 (PHP, выпущен 30 сентября 2006 года)
Yazd версии 1.0 (Java, выпущен 20 февраля 2002 года)
WebCalendar версии 1.03 (PHP, выпущен 11 апреля 2006 года)
Gallery2 версии 2.1 (PHP, выпущен 23 марта 2006 года)
TikiWiki версии 1.9.5 (PHP, выпущен 5 сентября 2006 года)
Joomla версии 1.5.15 (PHP, выпущен 4 ноября 2009 года)
AWStats версии 6.4 (build 1.814, Perl, выпущен 25 февраля 2005 года)

Приложения для тестирования инструментов

Приложения, созданные для тестирования автоматизированных инструментов, таких как сканеров безопасности:

OWASP ZAP-WAVE версии 0.2+SVN (Java JSP)
WAVSEP версии 1.5 (Java JSP)
WIVET версии 3+SVN (PHP)

Демонстрационные страницы / маленькие приложения

Маленькие приложения или страницы с намеренными уязвимостями для демонстрации конкретных концепций:

OWASP CSRFGuard Test Application версии 2.2 (Java)
Mandiant Struts Forms (Java/Struts)
Simple ASP.NET Forms (ASP.NET/C#)
Simple Form с DOM межсайтовым скриптингом (HTML/JavaScript)

Демонстрационные приложения OWASP

Демонстрация OWASP приложения. Не содержит преднамеренных уязвимостей:

OWASP AppSensor Demo Application (Java)

Установка OWASP Broken Web Applications Project

Программа поставляется в виде трёх самостоятельных файлов. Два из них являются архивами .zip и .7z. Их содержание абсолютно идентично, но они различаются степенью сжатия. Меньший размер имеет .7z, поэтому для скачивания рекомендуется он.

Если вы планируете использовать OWASP Broken Web Applications в VirtualBox, то скачайте файл с расширением .ova.

После скачивания в VirtualBox перейдите в настройку Файл → Импорт конфигураций… и выберите скаченный файл.

Перед запуском перейдите в настройки виртуальной машины в параметры сетевого адаптера. Измените «Тип подключения» на «Сетевой мост». А также «Неразборчивый режим» на «Разрешить всё»: