1. Ana Sayfa
  2. Siber Güvenlik
  3. bWAPP Kurulumu
Trendlerdeki Yazı

bWAPP Kurulumu

p

bWAPP Kurulumu yazısı hazırlanırken kullanılan işletim sistemi GNU/Linux Parrot Os 5.10.0 sürümüdür. Bazı işlemler çok küçük farklılıklarla olsa bile Debian tabanlı sistemler üzerinde genel olarak verilen adımlar izlenerek kurulum yapılması mümkündür.

bWAPP Kurulumu – bWAPP Nedir ?

bWAPP itsecgames tarafından geliştirilen ,open source ve ücretsiz bir web güvenlik zafiyetleri penetrasyon testi laboratuvarıdır. Detaylı bilgi için tıklayınız.

Bwapp üzerinde bulunan bazı zafiyetler :

  • SQL, HTML, iFrame, SSI, OS Command, XML, XPath, LDAP and SMTP injections
  • Blind SQL and Blind OS Command injection
  • Bash Shellshock (CGI) and Heartbleed vulnerability (OpenSSL)
  • Cross-Site Scripting (XSS) and Cross-Site Tracing (XST)
  • Cross-Site Request Forgery (CSRF)
  • AJAX and Web Services vulnerabilities (JSON/XML/SOAP/WSDL)
  • Malicious, unrestricted file uploads and backdoor files
  • Authentication, authorization and session management issues
  • Arbitrary file access and directory traversals
  • Local and remote file inclusions (LFI/RFI)
  • Configuration issues: Man-in-the-Middle, cross-domain policy files, information disclosures,…
  • HTTP parameter pollution and HTTP response splitting
  • Denial-of-Service (DoS) attacks: Slow HTTP and XML Entity Expansion
  • Insecure distcc, FTP, NTP, Samba, SNMP, VNC, WebDAV configurations
  • HTML5 ClickJacking, Cross-Origin Resource Sharing (CORS) and web storage issues
  • Unvalidated redirects and forwards, and cookie poisoning
  • Cookie poisoning and insecure cryptographic storage
  • Server Side Request Forgery (SSRF)
  • XML External Entity attacks (XXE)

Zafiyetler hakkında daha fazla bilgi için buraya bakabilirsiniz.


Apache2 Kurulumu

Apache2 server, Debian tabanlı Gnu/Linux distrolarında genellikle default olarak gelir.

sudo apt install -y apache2

komutu eğer sistemimiz üzerinde apache kurulu değilse kurulum işlemine , eğer kurulu ise versiyon bilgilerini görüntüleyecektir.


Mysql Kurulumu

Mysql veya Mariadb de çoğu dağıtımda yüklü olarak geliyor. Kali-Linux ve Parrot-Linux (Security) üzerinde ise genellikle Mariadb geliyor. İki program üzerinde de çalışmamız mümkün olduğu için hangisi üzerinde daha rahat olacaksanız onu seçmenizi tavsiye ederim.

apt install -y mysql-server

komutu ile mysql

apt install -y mariadb-server

komutu ile mariadb kurulumu gerçekleştirilir.

Bu işlemlerin ardından bWAPP kurulumuna geçebiliriz.


bWAPP – Debian Tabanlı GNU/Linux Dağıtımlarına Kurulumu

itsecgames.com adresinden Download sekmesine gelip en üstteki seçeneği seçiyoruz.

bWAPP Kurulumu

Yönlendirildiğimiz adresten en son versionu indir seçeneğini seçiyoruz.

bWAPP kurulumu

Arşivi indirdiğimiz dizine gidip unzip bWAPP_lastes.zip -d bWAPP komutu ile bWAPP dizinine unzip edelim.

bWAPP kurulumu

Arşivdeki dosyalar çıkarıldığında aşağıdakine benzer bir dizin elde etmiş olacağız:

bWAPP kurulumu

Download dizini içerisindeki bWAPP dizinini /var/www/html dizinine taşımamız gerekiyor.

Bu dizinde bulunan dosya ve dizinlere normal kullanıcıların yazma yetkisi olmadığı için super user olarak işlemimize devam edeceğiz.

sudo mv bWAPP /var/www/html/bWAPP/

komutu ile bWAPP dizini /var/www/html/bWAPP içerisine taşıma işlemi yapılır.

bWAPP kurulumu

Şimdi taşıdığımız bWAPP dizinine normal kullanıcı gurpları için erişim yetkisi verelim.

sudo -R chmod 777 /var/www/html/

Ardından var/www/html/bWAPP/admin dizini altında bulunan settings.php içerisindeki

$db_username = “user_name”;

$db_password = “user_password”;

değerlerini kendi ayarlarımıza göre değiştirmemiz gerekiyor.

Eğer mysql kurulumu sonrasında değişiklik yapmamışsanız

service mysql start

komutunu verdikten sonra

mysql -u root -p

komutu ile mysql bağlantısı kurabilirsiniz. Bağlantı kurulduktan sonra

create user ‘user_name’@’localhost’ identified by ‘user_password’;

komutu ile user_name isimli user_password parolalı bir kullanıcı oluşturulacaktır. Siz user_name ve user_password kısımlarına istediğiniz ismi ve parolayı verebilirsiniz.

bWAPP kurulumu

Şimdi bWAPP içerisinde gelmiş olan database isimine yani oluşturduğumuz kullanıcıyı yetkilendirelim. Database ismi bWAPP.

grant all privileges on bWAPP.* to ‘user_name’@’localhost’ identified by ‘user_password’ ;

komutu ile yeni kullancıımızın bu database üzerinde tam yetkili olmasını sağlarız.

Yeni kullanıcımızın yetkilerinden emin olmak için son bir sorgu daha çalıştıralım.

show grants for ‘user_name’@’localhost’;

bu sorgu ile yeni kullanıcımızın yetkilerini görüntüleriz.

Görüldüğü gibi yetkilendirme tanımlanmış.

Şimdi dosyamıza dönüp

$db_username = “user_name”;

$db_password = “user_password”;

değişikliklerini yapalım.

bWAPP kurulumu

bWAPP’i Çalıştırma

Apache2 ve mysql servislerini çalıştıralım.

sudo service apache2 start && sudo service mysql start

komutu ile iki servisi tek bir komut ile çalıştırabiliriz.

Bir web browser üzerinden http://127.0.0.1/html/bWAPP/install.php veya http://localhost/html/bWAPP/install.php üzerinden erişim sağlayabilirsiniz.

Ardından gelen sayfada kalın olarak yazılan ‘here’ a tıklayıp kurulumu bitiririz.

bWAPP çalıştırma
bWAPP kurulum sayfası

Sayfanın üst kısmında bulunan menüden Login’i seçerek login sayfasına gelerek

bWAPP kurulumu
bWAPP login sayfası

Login: bee

Password: bug

bilgileri ile login olarak istenilen seviye ve zafiyet üzerinde çalışma yapabilirsiniz. İyi eğlenceler…

bWAPP kurulumu
bWAPP ortamı

Kaynak

Yorum Yap

Yorum Yap

Yorumlar (1)

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir