Web Uygulama Güvenliği İçin Labaratuvar: bWAPP

İnternet ağı içerisinde milyonlarca web uygulaması bulunmaktadır. Bunlar arasında; mobil uygulama, web siteleri, e-ticaret siteleri, web uygulamaları vb. mevcuttur. Bu sistemlerin tasarımlarını ve uygulamaya dönüşünü, yazılım geliştiriciler gerçekleştirmektedir. Tabi durum böyle olunca, uygulamayı geliştiren kişilerin dikkatinden kaçan veya eksik kaldıkları bazı konular olmaktadır. Bundan dolayı da sistemde açıklar baş göstermektedir. Bu sistem açıkları, kimi durumlarda inanılmaz derecede büyük sıkıntılara yol açabilmektedir.

Örneğin; bir e-ticaret sitesi üzerinde bulunan XSS açığı sömürülerek, kullanıcıların kimlik bilgilerinden kredi kartı bilgilerine kadar hayati önem taşıyan bilgilere ulaşılması söz konusudur.

Böylesi durumların önüne geçebilmek için uygulamayı geliştirme esnasında, güvenlik açıklarını kapatmak ve denemek adına bir labaratuvar ortamı gerekmektedir. İşte bu ortamı bize bWAPP sunmaktadır.

bWAPP aracılığı ile onlarca sistem açığı türünün; low, medium ve high seviyelerdeki, en basit seviyedeki açıktan en bulunması zor açığa kadar bir deneme ve labaratuvar ortamı sunmaktadır. Böylece yazılımı/uygulamayı geliştirenler buradaki denemelerden edindiği tecrübe ve bilgi ile uygulamalarındaki açık seviyesini sıfıra kadar indireceklerdir.

bWAPP sadece geliştiriciler için bir ortam olmakla kalmayıp, siber güvenlik alanında kendini geliştirmek isteyen öğrenciler, pentest uzmanları, adli bilişim uzmanları tarafından da kullanılmakta ve deneyim elde edilmektedir.

Localhost Kurulumu

bWAPP in kurulumu yapılmadan önce, testlerin gerçekleştirileceği ortam olan localhost kurulumu tamamlanmalıdır. Localhost için xampp veya wampserver kurulabilir. Burada kurulumu xampp üzerinden anlatacağım. İlk olarak https://www.apachefriends.org/tr/index.html adresine gittikten sonra “İndir” kısmından işletim sisteminize uygun sürümü indirebilirsiniz. Standart bir yükleme ve kurulum işlemini tamamladıktan sonra artık xampp bilgisayarınıza kurulmuş olacaktır.

bWAPP Kurulumu

bWAPP kurulumunu gerçekleştirmek için öncelikle https://sourceforge.net/projects/bwapp/files/bee-box/ adresinden “download” kısmı üzerinden .zip formatındaki dosyamızı indireceğiz. İndirdikten sonra kendinize yeni bir klasör açın(ben dosya ismini bwapp olarak açtım) ve bu zip dosyasının içerisindekileri bu klasöre çıkartın. Sonrasında, çıkarttığınız tüm dosyaları kopyalayarak xampp’in kurulu olduğu konuma yönelin ve içerisinden htdocs dosyasına girip kopyaladığınız içerikleri buraya yapıştırın.

Kurulumun localhost üzerinde sorunsuz çalışması için “bWAPP” dosyası içerisinden “admin” dosyasına giriniz, buradan da “settings.php” yi açınız. Burada da;

// Database connection settings kısmı altından $db ile başlayanların karşılığını aşağıdaki şekilde ayarlayın ve kaydedin.

$db_server = “localhost”;

$db_username = “root”;

$db_password = “”;

$db_name = “bWAPP”;

Bu işlemi de tamamladıktan sonra localhost üzerinden Apache ve MySQL servislerini başlatın. Akabinde tarayıcınızı açarak URL kısmına “localhost” yazınız veya port numaranıza göre(örn: benim portum 8080) “localhost:8080” yazarak localhosta erişiminizi sağlayın. Çıkan ekranda yüklemiş olduğunuz dosyaları göreceksiniz. Bwappi seçerek kurulum aşamasına geçiniz. Açılan sayfada “click here” yazısına tıkladıktan sonra ‘Installation – bWAPP has been installed successfully!’ şeklinde bir mesaj alacaksınız. Artık labaratuvarınız kurulmuştur. 🙂

“Login: bee | Password: bug” sistem tarafından otomatik olarak belirlenmiştir. Girişinizi tamamladıktan sonra artık istediğiniz güvenlik zafiyetini seçebilir, bunların düzeylerini belirleyebilir ve işe koyulabilirsiniz.

Aklınıza takılan soruları iletişim sayfasındaki formu doldurarak bana ulaştırabilirsiniz. Dilerseniz de yorumlarda soru ve fikirlerinizi paylaşabilirsiniz. 🙂