Chào các bạn,

Đây là bài chia sẻ thứ 2 của mình trong chuỗi bài viết nhằm hưởng ứng sự kiện MayFest 2022 của Viblo. Trong bài viết trước, mình đã hướng dẫn các bạn cách cài đặt và cấu hình WebGOAT để phục vụ cho việc thực hành pentest (Các bạn có thể xem lại tại link). Và ở bài viết này, mình sẽ tiếp tục chia sẻ đến các bạn một ứng dụng web chứa lỗ hổng khác tương tự như WebGOAT để các bạn có thêm nhiều sự lựa chọn cũng như có nhiều môi trường thực hành hơn. Và ứng dụng web đó có tên là bWAPP.

1. bWAPP là gì?

bWAPP là một ứng dụng web được cố ý lập trình không an toàn với mã nguồn mở và miễn phí. Nó giúp những người làm trong lĩnh vực bảo mật, nhà phát triển và sinh viên khám phá và thực hành ngăn chặn các lỗ hổng bảo mật trên web. Để biết thêm nhiều thông tin hơn về ứng dụng web này, các bạn có thể tìm hiểu tại link.

2. Hướng dẫn cài đặt bWAPP

Để cài đặt, chúng ta cần chuẩn bị những mục sau đây:

• Một máy ảo với hệ điều hành Windows
• Apache
• MySQL

Để tiết kiệm thời gian cũng như dễ dàng hơn trong việc cài đặt, mình khuyên các bạn nên sử dụng bộ công cụ XAMPP. Trong đây, nó sẽ bao gồm cả Apache và MySQL, sau khi cài đặt xong, các bạn chỉ cần start các dịch vụ tương ứng để khởi chạy.

2.1. Cài đặt XAMPP

• Bước 1: Tải XAMPP cho Windows tại địa chỉ https://www.apachefriends.org/download.html
• Bước 2: Sau khi tải về, các bạn chạy file cài đặt và thiết lập bình thường theo hướng dẫn. Đường dẫn lưu trữ các bạn nên để mặc định là C:\xampp.

2.2. Cài đặt bWAPP

• Bước 1: Tải file nén bWAPP tại địa chỉ https://sourceforge.net/projects/bwapp/files/bWAPP/
• Bước 2: Giải nén file vừa tải và copy toàn bộ thư mục vừa giải nén vào thư mục htdocs của xampp.
• Bước 3: Khởi chạy XAMPP. Trong XAMPP Control Panel, nhấn start các dịch vụ Apache và MySQL.
• Bước 4: Mở trình duyệt web bất kỳ trên máy ảo và truy cập vào địa chỉ http://localhost/bwapp/install.php.

• Bước 5: Nhấn vào here để bWAPP được tự động cài đặt.
• Bước 6: Sau khi hoàn tất quá trình cài đặt, truy cập vào địa chỉ http://localhost/bwapp/login.php với tài khoản đăng nhập mặc định là: bee/bug.

Lưu ý: Nếu trong quá trình cài đặt mà ứng dụng báo lỗi là Access denied for user ‘root’@’localhost’ ... thì chúng ta mở file settings.php trong thư mục C:\xampp\htdocs\bWAPP\admin và sửa nội dung như sau:

[php]
$db_server = "localhost";
$db_username = "root";
$db_password = "";
$db_name = "bWAPP";
[/php]

Như vậy là mình đã hướng dẫn xong các bạn các bước để cài đặt bWAPP trên máy ảo Windows với sự hỗ trợ của XAMPP để phục vụ cho việc học tập và thực hành khai thác các lỗ hổng có sẵn trên ứng dụng web chứa lỗ hổng bWAPP.

Để hiểu rõ hơn về cách thức hoạt động cũng như chi tiết về các thành phần có trên môi trường này, các bạn có thể tham khảo thêm trên trang web http://www.itsecgames.com/.

Cảm ơn các bạn đã đọc bài viết của mình.