이 도구를 이용하여 허용받지 않은 서비스 대상으로 해킹을 시도하는 행위는 범죄 행위입니다. 해킹을 시도할 때에 발생하는 법적인 책임은 그것을 행한 사용자에게 있다는 것을 명심하시기 바랍니다.
비박스는 웹 취약점을 공격할 수 있는 오픈소스 웹 애플리케이션인 bWAPP(buggy Web Application)가 설치된 가상 환경으로, 웹 취약점 공격을 할 수 있게 만들어졌으며 100여 개가 넘는 웹 취약점이 존재합니다.
비박스를 사용할 때는 웹 애플리케이션인 bWAPP을 해당 호스트에 설치하는 방법과 비박스를 가상 환경에 설치하여 미리 설치된 bWAPP을 사용하는 방법이 있습니다.
bWAPP 홈페이지 - http://www.itsecgames.com/
1. 해당 호스트(Local)에 bWAPP 설치 방법
해당 호스트에 설치하는 경우, DVWA나 XVWA와 같이 소스코드를 받아서 진행을 해야 합니다.
bWAPP 소스코드 다운로드 - https://sourceforge.net/projects/bwapp/files/bWAPP/
위에 사이트를 들어가시면 다음과 같은 화면이 보이실 겁니다. 여기서 bWAPP_latest.zip 파일을 다운로드하여 줍니다.
소스코드를 받아 주셨다면 환경을 구성할 수 있게 오토셋이라는 프로그램을 설치를 하셔야 합니다.
설치방법은 아래를 참고하여 주시기 바랍니다.
http://securitycode.tistory.com/42?category=753968
오토셋까지 설치를 하셨다면 조금 전에 받아 놓았던 bWAPP_latest.zip 소스파일을 연동을 시켜주셔야 합니다.
저 같은 경우는 C:\AutoSet9\bWAPP 안에 bWAPP_latest.zip 파일 압축을 풀어놓았습니다.
압축을 다 풀어놓으셨다면 AutoSet을 실행시킨 후 경로 설정을 해주어야 합니다.
설정 - 웹서버 기본 설정을 보시면 위와 같은 모습이 보이실 겁니다. 여기서 홈 디렉터리 설정을 해주시면 됩니다. 여기까지 하셨다면 DB 설정 변경을 하도록 하겠습니다.
저와 경로는 다를 수 있습니다. C:\AutoSet9\bWAPP\bWAPP\admin 경로 안에 settings.php 파일을 메모장이나 notepad++을 이용하여 열어줍니다.
해당 settings.php 파일을 여신 후 db_password = "autoset"으로 변경하여 줍니다. 해당 패스워드는 Autoset 기본 패스워드입니다.
이제 [웹서버 시작], [MySQL 시작]을 눌러 줍니다.
접속 정보 - http://localhost/bWAPP/login.php
여기서 bWAPP 명은 C:\AutoSet9\bWAPP\bWAPP 명입니다. 실제 해당 디렉터리를 들어 가보시면 login.php 파일을 확인하실 수 있습니다.
처음 웹페이지를 접속하시면 다양한 오류들이 보이실 겁니다. 이는 DB설치가 안되어 있어 나오는 오류입니다.
DB 설치 - http://localhost/bWAPP/install.php?install=yes
DB를 설치하신 후 Autoset - 제어 - phpmyadmin 접속을 눌러 DB에 접속을 하여 확인을 해보도록 하겠습니다. ID root / PW autoset입니다.
정상적으로 설치된 화면입니다.
접속해 보도록 하겠습니다. bee / bug
정상 접속된 화면입니다. 접속을 하시면 취약점 모의해킹을 할 수 있는 목록들이 나열되어 있습니다.
2. bee-box 가상 이미지를 이용한 bWAPP 설치 방법
먼저 비박스 다운로드 페이지에 접속하여 파일을 다운로드하여 줍니다.
https://sourceforge.net/projects/bwapp/files/bee-box/
압축 파일(bee-box_v1.6.7z)을 다운로드합니다. 그다음 가상 머신에 비박스 환경을 만들기 위하여 하드웨어 가상머신 소프트웨어인 VM웨어나 버추얼박스로 비박스를 설치 하여 줍니다.
가상머신 설치방법은 구글 검색만으로도 금방 할 수 있기 때문에 따로 설치방법은 정리하지 않도록 하겠습니다.
취약점 진단 및 모의해킹을 하기 위해서는 버프 스위트가 필요하므로 버프스위트 까지 설치를 해주시면 됩니다.
버프스위트 설치 - http://securitycode.tistory.com/7?category=753968
일단 비박스는 3단계로 구성이 되어 있습니다. 비박스에 나와 있는 취약점은 OWASP Top 10 -2013 가장 심각한 웹 애플리케이션 보안 위험 10가지를 기준으로 분류되어 있으며 그 외 취약점은 기타(Other bugs) 항목에 포함되어 있습니다.
모든 환경이 구성되셨다면 bWAPP 로그인을 하신 후 진단항목들을 하나씩 살펴보시기 바랍니다.
'Code::Security > 비박스(BWAPP)' 카테고리의 다른 글
| 비박스(bWAPP) PHP Code Injection (0) | 2019.04.12 |
|---|---|
| 비박스(bWAPP) OS Command Injection (0) | 2019.01.23 |
| 비박스(bWAPP) iFrame Injection (0) | 2019.01.21 |
| 비박스(bWAPP) HTML Injection - Reflected (POST) (0) | 2019.01.04 |
| 비박스(bWAPP) HTML Injection - Reflected (GET) (0) | 2018.12.27 |