無料で使える練習用脆弱Webアプリケーション（やられWebアプリケーション？）は、結構いろいろあってそれぞれ何が違うのかが分かりにくいです。一度整理してみたかったのでいくつか調べてみました。

Badstore

公式サイト

Badstore.net: See how the hackers think. Download this demo.

メモ

• ISOイメージで配布されている。
• 現在のバージョンは 1.2
• 公式ユーザーマニュアルの日付は 2005年2月1日。

BodgeIt Store

公式サイト

bodgeit – The BodgeIt Store is a vulnerable web application suitable for pen testing – Google Project Hosting

メモ

• warファイルで配布されている。
  • Javaを使ってる人にとっては手軽。
• Apache License 2.0
• 現在のバージョンは 1.4、リリースは 2012年7月。

Gruyere

公式サイト

Web Application Exploits and Defenses

メモ

• GruyereはWebアプリケーションである。
• この codelab はバグを見つけるのが目的
• Pythonで書かれている。
• AppEngineで動いている。
• ローカルで動かすこともできる(Pythonのプログラム)。
• 2010年からサービスが始まった。
• ソースコードをダウンロードしてファイルのステータスを見たら、Modifyの値が 2013年3月だった。

moth

公式サイト

:: moth – Bonsai Information Security ::

メモ

• VMwareイメージで配布されている。
• 現時点でダウンロードできるのは、moth-v0.6.7z であり、日付は 2009年5月5日になっている。

OWASP BWA (Broken Web Applications Project)

公式サイト

• owaspbwa – OWASP Broken Web Applications Project – Google Project Hosting
• OWASP Broken Web Applications Project – OWASP

メモ

• VMwareイメージで配布されている。
  • VirtualBoxでも使用可
• 2013年9月27日に、バージョン 1.1.1 がリリースされた(ファイル名は、OWASP_Broken_Web_Apps_VM_1.1.1.7z)。
• いろいろなオープンソースのアプリケーションが含まれている。
  • OWASP WebGoat
  • OWASP Mutillidae II
  • Google Gruyere
  • BodgeIt
  • 他多数
  • 参照 –> UserGuide – owaspbwa – User Guide for the OWASP BWA VM. – OWASP Broken Web Applications Project – Google Project Hosting
• ライセンスは GPLv2

VirtualBoxへのインストール手順

参考：Web Application Security Lab with OWASP-bwa | Sherlock

ポイント

• OS Typeには、“Linux”、Versionには “Ubuntu” を選択する。
  • OWASP BWAは、Ubuntuをベースにしているため。
• ハードディスクの選択では、「OWASP Broken Web Apps-cl1.vmdk」を選ぶ。
• これはVirtualBoxに限らないが、Bridge接続設定にはしない方がよい。
• username: “root”, password: “owaspbwa”

OWASP Mutillidae

公式サイト

• OWASP Mutillidae 2 Project – OWASP
• NOWASP (Mutillidae) | Free Security & Utilities software downloads at SourceForge.net

メモ

• 実際に存在するようなWebサイトが用意されているわけではなく、脆弱性を実践的に学ぶためのページが用意されている。
• SamuraiWTF, Rapid7 Metasploitable-2, OWASP BWA にプリインストールされている。
• Webの新しい機能に基づいた内容もある(HTML5, JSON, REST, etc.)。
• 脆弱性の分類に、OWASP TOP 10 も使用されている。
• PHPでできている。
• 現時点での最新バージョンは 2.6.7で、2013年11月17日に更新されている。
• ライセンス：GNU GPL v3 License

OWASP WebGoat

公式サイト

• Category:OWASP WebGoat Project – OWASP
• webgoat – WebGoat is a deliberately insecure J2EE web application designed to teach web application security concepts – Google Project Hosting

メモ

• 実際に存在するようなWebサイトが用意されているわけではなく、脆弱性を実践的に学ぶためのページが用意されていてレッスンを進めていく。
• J2EE, .NET用がある。
• warファイルが提供されている。
• Webアプリケーションのセキュリティのためのインタラクティブな教育的環境としてデファクトスタンダードになることを目指している。
• 30以上のレッスンがある。
• 2013年10月7日時点の最新安定版バージョンは、5.4（アップロードされたのは2012年4月）

まとめ

• Badstore, moth は更新が止まっているみたいです。
• それ以外は、OWASP BWA に含まれているので OWASP BWA だけダウンロードすればよさそう。
• いろいろな脆弱性をレッスン形式で学ぶには OWASP WebGoat, OWASP Mutillidae を使います。
• 現実にありそうなWebサイトに対して脆弱性を見つける練習をするなら BodgeIt Store, Gruyere を使います。