Excelente para testar as skills de WebAppSec.<div><br></div><div>Cps,</div><div><br><div class="gmail_quote">---------- Forwarded message ----------<br>From: <b class="gmail_sendername">Chuck Willis</b> <span dir="ltr"><<a href="mailto:chuck@securityfoundry.com">chuck@securityfoundry.com</a>></span><br>
Date: Tue, Jul 24, 2012 at 3:03 PM<br>Subject: [Owasp-leaders] OWASP BWA VM version 1.0 released!<br>To: <a href="mailto:owasp-leaders@lists.owasp.org">owasp-leaders@lists.owasp.org</a><br><br><br>Hello OWASP Leaders,<br>

<br>
Today, I am proud to announce the release of the OWASP Broken Web<br>
Applications Project VM version 1.0. This new release is now available<br>
for download from <a href="https://sourceforge.net/projects/owaspbwa/files/" target="_blank">https://sourceforge.net/projects/owaspbwa/files/</a>.<br>
If you are not familiar with the project, we produce a VM containing a<br>
variety of web applications with security vulnerabilities.  A list of<br>
the applications included on the current 1.0 release is at the bottom<br>
of this email for your reference.<br>
<br>
In addition to just using the applications, the VM has a few other<br>
interesting features:<br>
<br>
- Samba shares for editing and viewing source code, configuration<br>
files, and log files<br>
- Scripts for easily recompiling applications (that need compilation<br>
for source code changes to take effect)<br>
- ModSecurity is installed and the OWASP Core Rule Set can be easily enabled<br>
<br>
One major effort we have undertaken as part of the 1.0 release is to<br>
update the project documentation.  We now have a relatively detailed<br>
User Guide at <a href="http://code.google.com/p/owaspbwa/wiki/UserGuide" target="_blank">http://code.google.com/p/owaspbwa/wiki/UserGuide</a>.<br>
<br>
Going forward, my plans for the project are to:<br>
- Work to move the project "up the list" to a be a "Stable Quality"<br>
OWASP project.<br>
- Continue to improve documentation<br>
- Continue to catalog vulnerabilities in the VM<br>
- Periodically release new versions as the applications included on<br>
the VM are updated.<br>
<br>
I welcome any feedback and contributions to this project.  Feel free<br>
to email me directly or join our Google Group.  I will also be<br>
demonstrating the new release at the Black Hat USA Arsenal this week,<br>
so you can also catch me there if you will be in Vegas.<br>
<br>
Chuck Willis<br>
<br>
<br>
The lists below are current as of the 1.0 release of OWASP BWA.<br>
<br>
Training Applications -  Applications designed for learning which<br>
guide the user to specific, intentional vulnerabilities.<br>
<br>
- OWASP WebGoat version 5.4+SVN (Java)<br>
- OWASP WebGoat.NET version 2012-07-05+GIT<br>
- OWASP ESAPI Java SwingSet Interactive version 1.0.1+SVN<br>
- Mutillidae version 2.2.3 (PHP)<br>
- Damn Vulnerable Web Application version 1.8+SVN (PHP)<br>
- Ghost (PHP)<br>
<br>
Realistic, Intentionally Vulnerable Applications - Applications that<br>
have a wide variety of intentional security vulnerabilities, but are<br>
designed to look and work like a real application.<br>
<br>
- OWASP Vicnum version 1.5 (PHP/Perl)<br>
- Peruggia version 1.2 (PHP)<br>
- Google Gruyere version 2010-07-15 (Python)<br>
- Hackxor version 2011-04-06 (Java JSP)<br>
- WackoPicko version 2011-07-12+GIT (PHP)<br>
- BodgeIt version 1.3+SVN (Java JSP)<br>
<br>
Old Versions of Real Applications - Open source applications with one<br>
or more known security issues.<br>
<br>
- WordPress 2.0.0 (PHP, released December 31, 2005) with plugins:<br>
   o myGallery version 1.2<br>
   o Spreadsheet for WordPress version 0.6<br>
- OrangeHRM version 2.4.2 (PHP, released May 7, 2009)<br>
- GetBoo version 1.04 (PHP, released April 7, 2008)<br>
- gtd-php version 0.7 (PHP, released September 30, 2006)<br>
- Yazd version 1.0 (Java, released February 20, 2002)<br>
- WebCalendar version 1.03 (PHP, released April 11, 2006)<br>
- Gallery2 version 2.1 (PHP, released March 23, 2006)<br>
- TikiWiki version 1.9.5 (PHP, released September 5, 2006)<br>
- Joomla version 1.5.15 (PHP, released November 4, 2009)<br>
- AWStats version 6.4 (build 1.814, Perl, released February 25,2005)<br>
<br>
Applications for Testing Tools - Applications designed for testing<br>
automated tools like web application security scanners.<br>
<br>
- OWASP ZAP-WAVE version 0.2+SVN (Java JSP)<br>
- WAVSEP version 1.2 (Java JSP)<br>
- WIVET version 3+SVN (Java JSP)<br>
<br>
Demonstration Pages / Small Applications - Little applications or<br>
pages with intentional vulnerabilities to demonstrate specific<br>
concepts.<br>
<br>
- OWASP CSRFGuard Test Application version 2.2 (Java)<br>
- Mandiant Struts Forms (Java/Struts)<br>
- Simple <a href="http://ASP.NET" target="_blank">ASP.NET</a> Forms (<a href="http://ASP.NET/C#" target="_blank">ASP.NET/C#</a>)<br>
- Simple Form with DOM Cross Site Scripting (HTML/JavaScript)<br>
<br>
OWASP Demonstration Applications - Demonstration of an OWASP<br>
application. Does not contain any intentional vulnerabilties.<br>
<br>
- OWASP AppSensor Demo Application (Java)<br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</div><br><br clear="all"><div><br></div>-- <br><div><br></div><div><span style="font-family:'Lucida Grande';font-size:medium"><div style="line-height:13px;margin-top:6px;margin-right:0px;margin-bottom:6px;margin-left:0px;padding-top:8px;padding-right:8px;padding-bottom:8px;padding-left:8px;border-top-width:1px;border-top-color:rgb(153,153,153);border-top-style:dotted;border-bottom-width:1px;border-bottom-color:rgb(153,153,153);border-bottom-style:dotted;font-family:'Lucida Grande',Verdana,Arial,sans-serif;font-size:11px;color:rgb(51,153,153)">
<strong style="color:rgb(51,153,153);font-size:12px">Carlos Serrão</strong><br>Chapter Leader @ <a href="http://www.owasp.org/" title="OWASP" style="color:rgb(51,153,153);text-decoration:none;border-bottom-width:1px;border-bottom-color:rgb(153,153,153);border-bottom-style:dotted" target="_blank">OWASP</a>@<a href="http://www.owasp.org/index.php/Portuguese" title="OWASP Portuguese Chapter" style="color:rgb(51,153,153);text-decoration:none;border-bottom-width:1px;border-bottom-color:rgb(153,153,153);border-bottom-style:dotted" target="_blank">PT</a><br>
</div><div><br></div></span></div><br>
</div>