OWASP Juice Shop どうでしょう

Transcript

1. OWASP Juice Shop どうでしょう Manabu Niseki (@ninoseki)

2. TL;DR •OWASP Juice Shop: • OWASPのLAB project • Node.js, Express,

   Angular.jsで書かれたモダンな”やられ役”Webアプリ • Webアプリケーションの脆弱性の勉強用に使える • 日本語対応あり

3. “OWASP Juice Shop is an intentionally insecure webapp for security

   trainings written entirely in JavaScript which encompasses the entire OWASP Top Ten and other severe security flaws.“ • セキュリティトレーニング用のセキュアではないWebアプリ • (ほぼすべて) JavaScriptで書かれている • OWASP TOP 10及びその他の脆弱を含んでいる

4. github.com/bkimminich/juice-shop ★1,100+

5. 名前の由来 ドイツ語 英語

6. OWASP Juice Shopのここがすごい •モダンなアーキテクチャ •簡単なインストール •幅広い課題 •充実した解説 •活発なコミュニティ •日本語対応あり

7. モダンなアーキテクチャ Front-end: Angular.js Server-side: Node.js + Express

8. 簡単なインストール • Heroku, Docker, Vagrant等に対応 • どの方法でも2-3個のコマンドでインストール完了

9. 幅広い課題 • 60+の課題 • インジェクション, XSS, XXE, 認証の不備, etc.

10. 充実した解説 解説本(Pwning OWASP Juice Shop)で各脆弱性の攻略方法を易しく解説 https://bkimminich.gitbooks.io/pwning-owasp-juice-shop/content/

11. 活発なコミュニティ 4,865 commits / 114 release (2018/06/14時点)

12. 日本語対応あり(78%) 翻訳者: @ninoseki, @nilfigo

13. デモ環境にアクセス! http://demo.owasp-juice.shop