viernes, 27 de julio de 2012

OWASP BWA VM version 1.0 Released

OWASP Ecuador Chapter - EPN
Para inaugurar el Blog Oficial del Capítulo de OWASP Ecuador - EPN quería compartirles una última novedad acerca de los proyectos en los que ha estado trabajando la Fundación OWASP y es el BWA VM 1.0.
Este proyecto, que comenzó a mantenerse dentro de OWASP desde el 31 de Enero de 2010, consiste en la creación de una máquina virtual en la que se ejecutan un conjunto de aplicaciones que contienen vulnerabilidades, con el objetivo de practicar técnicas conocidas y relacionadas con la seguridad en aplicaciones web, tanto de forma manual, como automáticamente. También nos permite ponernos "en el otro lado", el lado defensivo, para conocer el compartamiento de dichas aplicaciones en caso de que sean explotadas, probar firewalls de aplicaciones web (WAFs) y otras medidas para evitar ataques en nuestras aplicaciones web.

Dentro del conjunto de aplicaciones que se incluyen, se dividen en las siguientes categorías según el propósito:

Aplicaciones de Entrenamiento:
Dentro de estas aplicaciones se incluyen aquellas que guían al usuario en la explotación satisfactoria de vulnerabilidades. Algunas de sobra conocidas por todos, se incluyen las siguientes:
  • OWASP WebGoat version 5.4+SVN (Java)
  • OWASP WebGoat.NET version 2012-07-05+GIT
  • OWASP ESAPI Java SwingSet Interactive version 1.0.1+SVN
  • Mutillidae version 2.2.3 (PHP)
  • Damn Vulnerable Web Application version 1.8+SVN (PHP)
  • Ghost (PHP)
Aplicaciones Vulnerables "Realistas":
Son como las de entrenamiento, pero en este caso las aplicaciones son más complejas y su comportamiento y funcionalidad pretende ser mucho más realista y son las listadas a continuación:
  • OWASP Vicnum version 1.5 (PHP/Perl)
  • Peruggia version 1.2 (PHP)
  • Google Gruyere version 2010-07-15 (Python)
  • Hackxor version 2011-04-06 (Java JSP)
  • WackoPicko version 2011-07-12+GIT (PHP)
  • BodgeIt version 1.3+SVN (Java JSP)
Aplicaciones Vulnerables Reales (Versiones Antiguas):
Aquí se incluyen proyectos de aplicaciones web completamente reales y de uso extendido, cuyas versiones fueron actualizadas para corregir vulnerabilidades conocidas. Lo realmente interesantes es que, si bien pueden ya no estar mantenidas por los desarrolladores del proyecto, estas se pueden encontrar todavía en muchas empresas, instituciones o centros educativos, en el proyecto se encuentran:
  • OrangeHRM version 2.4.2 (PHP, released May 7, 2009)
  • GetBoo version 1.04 (PHP, released April 7, 2008)
  • gtd-php version 0.7 (PHP, released September 30, 2006)
  • Yazd version 1.0 (Java, released February 20, 2002)
  • WebCalendar version 1.03 (PHP, released April 11, 2006)
  • Gallery2 version 2.1 (PHP, released March 23, 2006)
  • TikiWiki version 1.9.5 (PHP, released September 5, 2006)
  • Joomla version 1.5.15 (PHP, released November 4, 2009)
  • AWStats version 6.4 (build 1.814, Perl, released February 25,2005)
Aplicaciones Creadas para probar herramientas:
  • OWASP ZAP-WAVE version 0.2+SVN (Java JSP) - Prueba de OWASP ZAProxy
  • WAVSEP version 1.2 (Java JSP) - Aplicación utilizada para el benchmark de scanners de seguridad
  • WIVET version 3+SVN (Java JSP)
Páginas de pruebas o pequeñas aplicaciones:
  • OWASP AppSensor Demo Application (Java)
El OWASP Broken Web Applications Project VM version 1.0 puede ser descargado del siguiente enlace:
https://sourceforge.net/projects/owaspbwa/files/
Y también se ha creado una Guía de Usuario para los que recién conozcan este proyecto de seguridad:

No hay comentarios:

Publicar un comentario