OWASP Broken Web Apps

A OWASP lançou uma máquina virtual chamada OWASP Broken Web Apps ou OWASPBWA. É uma VM para o VMware, embora seja fácil convertê-la para Virtual Box.

A VM tem várias aplicações web vulneráveis a correr. A interface é apenas uma shell que serve para fazer configurações (não tem interface gráfica). Para usar/atacar as aplicações utiliza-se um browser a correr no computador hospedeiro.Se for preciso usar um proxy, este tem também de estar instalado no hospedeiro.

Uma lista das aplicações vulneráveis está no user guide, mas de qualquer modo aqui ficam algumas: OWASP WebGoat e WebGoat.NET, Mutillidae, Damn Vulnerable Web Application, Ghost, Vicnum, Wordpress, Joomla, etc. etc.