Blog

Préparation de l’environnement Cybersécurité – bWAPP

bWAPP, a buggy Web APP (http://www.itsecgames.com/)

Cette Application n’est plus maintenue depuis 2014. En consultant son code, on s’aperçoit qu’elle utilise les fonctions mysql_connect(), … qui ne sont plus utilisées depuis PHP 7.0.

En conséquence, pour l’installer et l’utiliser il faut donc une distribution qui soit restée en PHP 5.x et encore maintenue. Cela exclut Debian 8 qui n’est plus maintenue, donc pas de miroir pour finaliser l’installation.

En conséquence, j’ai choisi d’installer cette application sur une distribution CentOS 7.0 dont la version PHP par défaut est 5.4.16. Cette distribution est maintenue jusqu’en 2024.

Celle-ci s’est faite sans interface graphique ce qui économise de la RAM et avec ajout de Webmin (application PHP d’administration de la machine installée).

Remarque : pour les personnes désireuses d’avoir une interface graphique, il convient, une fois l’installation terminée de lancer la commande suivante :

Pour l’installer d’un serveur LAMP, on peut utiliser ce mode opératoire : https://www.hostinger.com/tutorials/vps/how-to-install-lamp-stack-centos7.

En ce qui me concerne, je n’ai ps utilisé le dépôt de REMI, puisque c’est PHP 5 dont j’avais besoin.

Tout le reste est conforme.

Une fois l’installation terminée et vérifiée, il convient de passer à l’application bWAPP.

Pour cela, on se rend sur le site de l’éditeur et dans l’onglet « download » on télécharge le zip. On obtient la version 2.2 de l’application, datée de 2014.

Toutefois, sur le site de Sourceforge, on trouve ce projet : https://sourceforge.net/projects/bwapp/.

Dans l’onglet « files » on y trouve le fichier bWAPP-2.2.zip (https://sourceforge.net/projects/bwapp/files/bWAPP/bWAPPv2.2/bWAPPv2.2.zip).

Attention : le télécharger directement sous Linux :

Windows, avec son anti-virus, détecte des fichiers « indésirables » et les supprime, ce qui empêche l’utilisation correcte de l’application.

Il convient de dézipper l’archive dans le dossier Web d’Apache (/var/www/html/).

Il convient de modifier le fichier settings.php dans le sous-dossier « admin » du site.

Ainsi, vous intégrerez les éléments nécessaires à la connexion au serveur de base de données (MariaDB).

Personnellement, j’ai créé un mot de passe au compte « root » et intégré dans ce fichier.

Enfin, il convient de lancer l’installation de la base de données à partir d’un navigateur :

Après quelques secondes, vous obtenez la page de loin de l’application :

Login par défaut : bee

Password : bug

Il reste plus qu’à utiliser cette application lors des séances de cybersécurité.