OWASP BWAのセットアップ

OWASP BWA（Broken Web Applications）は、脆弱性を抱えたWebアプリを取り揃えているUbuntuベースの仮想マシンイメージ。情報セキュリティの学習に用いられる。

環境

• Windows10 1909（ホストOS）
• VirtualBox 6.1.14
• OWASP BWA 1.2（ゲストOS）

OWASP BWA のダウンロード

• https://sourceforge.net/projects/owaspbwa/files/1.2/ からダウンロード
  • 残念ながら2015年から更新されていないプロジェクトのようだ
• ovaファイルが手軽

OWASP BWA のセットアップ

• ダウンロードしたovaファイルをダブルクリックすればVirtualBoxが立ち上がり、よしなにインポートしてくれる
• 設定はひとまずデフォルトでOK
• 仮想マシンを起動する前に、メニューバーの「設定」をクリック

• わかりやすくするため、名前を「owasp-bwa」に変更（任意）

• 「ネットワーク」の割当を「ホストオンリーアダプター」に変更する
  • ホストOS（Windows10）とゲストOS（OWASP BWA）間のみでネットワークを構成するための設定。こうすればゲストOSと外部のインターネットは通信できないので、ゲストOSが自分以外のだれかに攻撃されることはなくなる。

• 起動後の画面ではIPアドレスが表示される

• ホストOSのブラウザからアクセスすると脆弱性を抱えたWebアプリの一覧が表示される