脆弱性テスト・学習用Webアプリケーションのメモ
脆弱性スキャンツールのテストあるいは脆弱性内容の学習を目的として、意図的に脆弱性が作り込まれたWebアプリケーションをいろいろ調べた結果のメモ。
Badstore
- Badstore: 1.2.3 ~ VulnHub
- Last update: 2004-02-24 (1.2.3)
この手のアプリケーションの元祖であり、現在はメンテナンスされていない。 ショッピングカートを模したつくりになっている。 また、ISOイメージとして配布されている。
BodgeIt Store
(The image is taken from The BodgeIt Store Part 1 - InfoSec Resources)
- bodgeit - The BodgeIt Store is a vulnerable web application suitable for pen testing - Google Project Hosting
- Last update: 2012-07-31 (1.4.0)
Badstore同様にショッピングカートを模したつくり。 やはりメンテナンスは止まっている。 Java Tomcatで動作。
Damn Vulnerable Web Application (DVWA)
- DVWA - Damn Vulnerable Web Application
- Docker image: citizenstig/dvwa
- Last update: 2015-10-05 (v1.9)
ショッピングカートではなく、脆弱性の種類ごとにページが分けられているタイプ。 PHP + MySQLで動作。
OWASP Bricks
- Welcome to OWASP Bricks
- Docker image: citizenstig/owaspbricks
- Last update: 2013-11-30 (2.2)
学習用途を想定。 見た目はきれいだが、内容がSQLインジェクションに偏っており他と比べると物足りない感じがある。 PHP + MySQLで動作。
bWAPP
- itsecgames
- Docker image: raesene/bwapp
- Last update: 2014-11-02 (v2.2)
非常に多くの脆弱性の種類をカバーしている点が特長。 PHP + MySQLで動作。ただし、VMイメージ版を利用しないと確認できない脆弱性もある。
OWASP WebGoat
- WebGoat
- Docker image: pandrew/webgoat
- Last update: 2014-09-26 (6.0.1)
Damn Vulnerable Web Application同様、脆弱性の種類ごとにページが分けられているタイプ。 J2EEまたは.NETで動作。
NOWASP (Mutillidae)
- NOWASP (Mutillidae) download | SourceForge.net
- Docker image: citizenstig/nowasp
- Last update: 2015-11-26 (2.6.30)
OWASP Top 10およびHTML5の脆弱性に対応している。 PHP + MySQLで動作。
OWASP Broken Web Applications (BWA)
- owaspbwa - OWASP Broken Web Applications Project - Google Project Hosting
- Last update: 2015-08-03 (1.2)
上で紹介したもののうちBadstore以外すべてに加え、古いバージョンのWordpressなどがセットになったVMイメージ。
Magical Code Injection Rainbow (MCIR)
- SpiderLabs/MCIR
- Last update: 2015-11-12
SQLiやRFI、XPath/OS command/PHPインジェクションについて、種々の制約をかけたページを生成し実際に実行できるかどうか試すことができる。 また、攻撃可能な暗号・乱数を生成するページもある。 PHP + MySQLで動作。
所感
サイトの構造・内容およびメンテナンス状態を考えると、テスト用ならDamn Vulnerable Web Application、学習用ならOWASP WebGoatを使うのがよさそう。