BeeBox 소개와 설치 가이드
BeeBox/bWAPP 보안 실습 환경 가이드입니다. 취약 애플리케이션을 공인망에 노출하지 않고 host-only/NAT 랩에서 실행하는 방식과 격리 점검 기준을 정리했습니다.
BeeBox/bWAPP는 의도적으로 취약하게 만들어진 웹 보안 학습용 애플리케이션입니다. 실제 서비스에 올리는 프로그램이 아니라, 격리된 로컬 VM 또는 폐쇄 랩에서 취약점 동작을 이해하고 방어 방법을 연습하기 위한 대상입니다. 절대 공인 IP에 그대로 노출하지 않아야 합니다.
사용 범위
- 개인 로컬 VM, NAT-only 네트워크, host-only 네트워크에서만 실행합니다.
- 회사/학교/고객망에 연결하기 전 반드시 허가와 범위를 확인합니다.
- 기본 계정과 취약 설정이 포함되므로 인터넷 공개 금지입니다.
- 실습은 방어 학습과 리포트 작성 목적으로 제한합니다.
권장 실행 방식
가장 안전한 방식은 배포자가 제공하는 BeeBox VM 이미지를 내려받아 VirtualBox/VMware에서 host-only 또는 NAT 네트워크로 실행하는 것입니다. 웹 서버에 직접 압축을 풀어 운영 서버와 섞는 방식은 추천하지 않습니다.
# 네트워크가 host-only인지 확인한 뒤 VM을 부팅합니다.
# VM IP를 확인한 후 브라우저에서 접속합니다.
http://<beebox-lab-ip>/bWAPP/
기본 로그인 정보는 배포 이미지 문서를 확인합니다. 흔히 알려진 bWAPP 기본 계정은 실습용이며, 외부 노출 시 즉시 악용될 수 있습니다.
직접 설치가 필요한 경우
부득이하게 로컬 랩 서버에 설치한다면 운영 웹 루트와 분리하고, localhost 또는 사설망에서만 접근하게 제한합니다.
sudo apt update
sudo apt install -y apache2 mariadb-server php php-mysql unzip wget
sudo install -d -m 755 /opt/labs
wget -O /tmp/bwapp.zip https://sourceforge.net/projects/bwapp/files/latest/download
sudo unzip /tmp/bwapp.zip -d /opt/labs/
Apache vhost는 랩 IP나 localhost로 제한합니다.
<VirtualHost 127.0.0.1:8080>
ServerName beebox.local
DocumentRoot /opt/labs/bWAPP
<Directory /opt/labs/bWAPP>
Require local
AllowOverride All
</Directory>
</VirtualHost>
sudo apache2ctl configtest
sudo systemctl reload apache2
curl -I http://127.0.0.1:8080/
격리 확인
실습 전에 외부에서 접근되지 않는지 확인합니다.
ss -lntp | grep -E '(:80|:8080)'
ip route
curl -I http://127.0.0.1:8080/
VM을 쓴다면 snapshot을 만들어 두고, 실습 후 원복합니다. 취약 애플리케이션은 실습 과정에서 파일이나 DB 상태가 바뀌므로 매번 깨끗한 상태로 되돌릴 수 있어야 합니다.
실습 기록 방식
취약점 실습은 공격 문자열보다 관찰과 방어 정리를 중심으로 기록합니다. 재현 조건, 서버 로그, 방어 설정, 수정 전후 차이를 남기면 학습 효과가 큽니다. 실제 외부 사이트에 같은 테스트를 수행하는 것은 허가된 범위 밖이면 안 됩니다.