まじめにゆいがどくそん

仕事関連の真面目な記事が満載です、多分。

OWASP BWA インストール (VirtualBox) - 脆弱性診断研究会

本記事では、脆弱性診断研究会 開催のハンズオンセミナーで使用する「OWASP BWA (Broken Web Applications)」を「Oracle VM VirtualBox」で動作させる方法を説明します。

OWASP BWAを導入する前に、VirtualBoxのセットアップ(インストール、ネットワーク設定)を完了しておいてください。

脆弱性診断研究会のハンズオンセミナーでは、ホストOSからOWASP BWAにアクセスするために、「ホストオンリーアダプタ―」を使用します。

Windows 10 ProおよびmacOS High SierraへVirtualBoxをインストールする方法は、次の記事で説明しています。


nilfigo.hatenablog.com

nilfigo.hatenablog.com

なお、本記事ではmacOS High Sierra版のVirtualBoxで説明しますが、大まかな作業内容はWindows版でも同じです。


Table of Contents

対象バージョン

ソフトウェア バージョン*1
OWASP Broken Web Applications 1.2
Oracle VM VirtualBox 5.2.12

ダウンロード

OWASP Broken Web Applications ProjectサイトからOWASP BWAをダウンロードします。

次のURLにアクセスします。
https://sourceforge.net/projects/owaspbwa/files/1.2/

ファイル一覧の中で、一番上にある「OWASP_Broken_Web_Apps_VM_1.2.ova」リンクをクリックしてVirtualBox用のBWAイメージをダウンロードします。

ダウンロードURLは
https://sourceforge.net/projects/owaspbwa/files/1.2/OWASP_Broken_Web_Apps_VM_1.2.ova/download
です。

f:id:nilfigo:20180521140957p:plain


OWASP BWAをVirtualBoxにインポート

VirtualBoxを起動し、「ファイル」メニューの「仮想アプライアンスのインポート(I)...」をクリックします。

f:id:nilfigo:20180521141332p:plain


「インポートしたい仮想アプライアンス」でダウンロードした仮想マシンイメージを選択します。

f:id:nilfigo:20180521141531p:plain

いくつかの設定をここで変更します。

  • 名前

デフォルトで「vm」となりわかりにくいため、適宜、わかりやすい名前に変更してください。

  • RAM

デフォルトで「1024MB」となっていますが、ホストOSのメモリに余裕がある場合は、「2048(MB)」または「4096(MB)」に変更してください。

f:id:nilfigo:20180521160532p:plain


変更が完了したら[インポート]ボタンをクリックして仮想アプライアンスのインポートを開始します。

f:id:nilfigo:20180521160622p:plain

インポートが完了するとVirtualBoxマネージャー画面に戻るので、仮想マシンを選択して[設定]ボタンをクリックします。

f:id:nilfigo:20180521160741p:plain

f:id:nilfigo:20180521160945p:plain

設定内の「ネットワーク」アイコンをクリックして、「割り当て:」で「ホストオンリーアダプター」を選択し、「名前:」で、作成済みのホストオンリーアダプターを選択したら[OK]ボタンをクリックします。

f:id:nilfigo:20180521161019p:plain

VirtualBoxマネージャー画面でインポートした仮想マシンを選択して、[起動]アイコンをクリックして仮想マシンを起動します。

f:id:nilfigo:20180521143109p:plain

しばらくすると画面の更新が止まり、ログイン待受画面になります。

この画面に表示されているURL(今回の例ではhttp://192.168.56.3/)にブラウザでアクセスすると、OWASP BWAサイトのトップ画面が表示されます。

f:id:nilfigo:20180521143212p:plain


仮想マシンを終了するには、仮想マシンウィンドウの閉じるボタンをクリックし、「Power Power off the machine」を選択して[OK]ボタンをクリックしてください。


f:id:nilfigo:20180521162336p:plain

いきなり電源を落とすのが不安な場合は、OWASP BWAに「root:owaspbwa」でログインして、次のコマンドを実行してください。

shutdown -h now

f:id:nilfigo:20180521162909p:plain

OWASP BWAのVIrtualBoxへのインストール方法は以上です。

『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践』

第2版は2018年6月21日発売です。

*1:2018年5月21日現在