WordPressセキュリティハンズオン事前準備マニュアル/OWASPKansaiNagoya_WP1_190929

341ac9f717b3904d6674784c0fcd9cf2?s=47 OWASP Kansai
September 20, 2019

 WordPressセキュリティハンズオン事前準備マニュアル/OWASPKansaiNagoya_WP1_190929

「OWASP Kansai × Nagoya『セキュアなWordPressを構築しよう!』」にて
ハンズオンを楽しんでいただくための事前準備マニュアルです
VMイメージのダウンロードURLは、参加者、キャンセル待ちにのみご連絡しています

341ac9f717b3904d6674784c0fcd9cf2?s=128

OWASP Kansai

September 20, 2019
Tweet

Transcript

  1. 〜セキュアなWordPressを構築しよう!〜 ハンズオンサーバー事前準備マニュアル 1

  2. • 本資料についての問い合わせは、下記のメールアドレスに て受け付けます。 メールアドレス:owasp758@gmail.com 問い合わせ先 2

  3. • この資料は、09/29開催「OWASP Kansai × Nagoya『セ キュアなWordPressを構築しよう!』」で使用するハンズ オンサーバーを、事前に構築するためのマニュアルです。 • ハンズオン開始までにこの資料の手順に従い、ハンズオン サーバーの構築を行ってください。

    はじめに 3
  4. • このハンズオンで提供するLinuxイメージは、ローカル環 境の使用のみに限ります。 また、自己学習以外の用途で使用しないでください。 • 脆弱性テストは、インターネットに接続していないローカ ル環境で行ってください。 特に、インターネット上のサイトに対し、興味本位での脆 弱性テストは、絶対にしないでください。 注意事項

    4
  5. • VirtualBoxの動作要件については次のURLを 参照ください。 – https://www.virtualbox.org/wiki/End-user_documentation • ハンズオンサーバーの必要リソースは次の通りです。 – CPU:仮想化支援機能(Intel VT,

    AMD-V)が有効なこと • (確認方法) https://www.intel.co.jp/content/www/jp/ja/support/articles/00000548 6/processors.html – メモリ:1024MB以上 – ディスク:20GB以上 動作環境 5
  6. 1. VirtualBoxのインストール 2. VirtualBoxの設定変更 3. ハンズオン用Linuxイメージのインポート 4. 動作確認 5. ハンズオンサーバーのシャットダウン

    6. トラブルシュート 7. 付録(SSHクライアントで接続する方法) 目次 6
  7. 1. VirtualBoxのインストール 7

  8. • VirtualBoxの公式サイトからインストーラをダウンロード します。 – https://www.virtualbox.org/wiki/Downloads – バージョンは6.0.10推奨 VirtualBoxインストーラをDL 8

  9. • ダウンロードしたファイルを実行し、インストーラを起動 します。 インストーラを実行 Win Mac 9

  10. • [Next]ボタンをクリックします。 インストーラを実行 Win Mac 10

  11. • 初期設定のまま、[Next]ボタンをクリックします。 インストーラを実行 Win Mac 11

  12. • 【Win】[Next]ボタンをクリックします。 インストーラを実行 Win 12

  13. • 【Win】[Install]ボタンをクリックします。 インストーラを実行 Win 13

  14. • 【Win】[Yes]ボタンをクリックします。 インストーラを実行 Win 14

  15. • 【Win】「ユーザーアカウント制御(UAC)」のダイアログが表示されま すので、[はい]を選択してください。 インストーラを実行 Win 15

  16. • 【Win】「Windows セキュリティ」のダイアログが表示されたら、[ インストール]を選択してください。 インストーラを実行 Win 16

  17. • インストール完了画面が表示されたら終了です。 インストーラを実行 Win Mac 17

  18. 2. VirtualBoxの設定変更 18

  19. ホストネットワークの設定 • メニューバーから[ファイル] → [ホストネットワークマネ ージャー]を選択します。 Win Mac 19

  20. ホストネットワークの設定 • [作成]ボタンをクリックし、ホストオンリーネットワーク を追加します。 Win Mac 端末によっては、既にホストオンリーネットワークが一覧に表示される場合もあります。 既存のホストオンリーネットワークは、今回のハンズオンでは使用しません。 Windowsの場合、「ユーザーアカウント制御(UAC)」のダイアログが表示されますので、[はい]を選択し てください。

    20
  21. ホストネットワークの設定 • 追加したホストオンリーネットワークを選択し、[プロパテ ィ]をクリックします。 追加したホストオンリーネットワークは後の設定で使用しますので名前を覚えておいてください Win Mac 21

  22. ホストネットワークの設定 • IPアドレス、IPv4ネットマスクを次のように入力し[適用] ボタンをクリックします。 – [アダプターを手動で設定]を選択 – IPv4アドレス:192.168.222.1 – IPv4ネットマスク:255.255.255.0

    Win Mac 22 192.168.222.1 192.168.222.1
  23. ホストネットワークの設定 • DHCPサーバーにチェックがされていないことを確認して 、ホストネットワークマネージャーを閉じます。 Win Mac 23 192.168.222.1 192.168.222.1 192.168.222.1/24

    192.168.222.1/24
  24. 3. ハンズオン用Linuxイメージの インポート 24

  25. Linuxイメージのインポート • メニューバーから[ファイル] → [仮想アプライアンスのイ ンポート]を選択します。 Win Mac 25

  26. Linuxイメージのインポート • Linuxイメージファイルを選択して[次へ]または[続き]ボタ ンをクリックします。 Win Mac インポートするLinuxファイルはメールを参照ください。 この画面にならない場合、[ガイド付きモード]ボタンをクリックしてださい 26 OWASP_Kansai_WP_HandsOn.ova

    OWASP_Kansai_WP_HandsOn.ova
  27. Linuxイメージのインポート • [すべてのネットワークカードのMACアドレスを生成]にチ ェックをつけ、[インポート]ボタンをクリックします。 Win 27 Mac

  28. Linuxイメージのインポート • インポートしたハンズオンサーバーを選択し、[設定]ボタ ンをクリックします。 Win Mac 28 OWASP_Kansai_WP_HandsOn

  29. Linuxイメージのインポート • 左ペイン(Macの場合は上ペイン)から[ネットワーク]を選 択し[アダプター1]タブの設定を次のように設定し、[OK] ボタンをクリックします。 – 割り当て:ホストオンリーアダプタ – 名前:追加したホストオンリーネットワークの名前 Win

    Mac 29
  30. 4. 動作確認 30

  31. 動作確認 • インポートしたハンズオンサーバーを選択し、[起動]ボタ ンをクリックします。 Win Mac 31 OWASP_Kansai_WP_HandsOn

  32. 動作確認 • 仮想環境の画面が開き、下図のような画面(コンソール画 面)になるまでしばらく待ちます。 32

  33. 動作確認 • コンソール画面をクリックするとダイアログが表示され、[Capture]ボ タンをクリックするとマウスが動かなくなります、下図の赤枠で囲ま れたキーを押下することでマウス操作ができるようになります。 この場合、 を同時に押下します 左Shift 右Shift Windowsの場合は、Ctrl

    + Alt + Deleteボタンでも可能です 33
  34. Windowsの場合、Microsoft Edgeではページが表 示され無い場合があります。その場合は、ほかの ブラウザを使うかInternet Explorerを使用してく ださい • ブラウザで次のURLにアクセスし、WordPressのサイトが 表示されることを確認します。 –

    http://192.168.222.222/wordpress500/ 動作確認 34
  35. 5. ハンズオンサーバーの シャットダウン 35

  36. コンソールにログイン • ハンズオンサーバーのコンソール画面をクリックし、 ユーザー名”owaspkansai”を入力します。 • 入力後、[Enter]キーを押下します。 36

  37. コンソールにログイン • パスワード”owasp06”を入力します。 • 入力後、[Enter]キーを押下しログインします。 入力したパスワードは、画面に表示されません 37

  38. シャットダウン実行 • シャットダウンコマンド”sudo shutdown -h now”を入力 し、[Enter]キーを押下します。 • その後、パスワード”owasp06”を入力し[Enter]キーを押 下します。

    入力したパスワードは、画面に表示されません 38
  39. シャットダウン実行 • コンソール画面が閉じられ、ハンズオンサーバーのステー タスが「電源オフ」になればシャットダウン完了です。 Win Mac 39 OWASP_Kansai_WP_HandsOn

  40. 6. トラブルシュート 40

  41. トラブルシュート Q ovaファイルのインポート時に「ファイルが破損しています」エラ ーが発生する。 A 次の内容を確認してください。 • ファイルは正しくダウンロードできていますか? ◦ ファイルハッシュ値:sha256sum.txt

    ファイルを参照 • VirtualBoxのバージョンが最新版(6.0.10)になっていますか? 41
  42. トラブルシュート Q ハンズオンサーバー起動時に、「Virtual Box Host-only Adapter **が見つかりません」のメッセージダイアログが表示される A スライド28ページのネットワークの設定が正しく行われているか確 認してください。

    42
  43. トラブルシュート Q ハンズオンサーバー起動時に、「仮想マシン"*******"のセッショ ンを開けませんでした。」「VT-x is not available」のメッセージ ダイアログが表示される A BIOSの設定画面で仮想化支援技術の設定が有効になっているか確認

    してください。 43
  44. トラブルシュート Q WordPressのサイトが表示されない A 次の内容を確認してください。 • URLは正しいですか? ◦ http://192.168.222.222/wordpress500/ •

    ハンズオンサーバーは正常に起動していますか? ◦ 30ページ以降のスライド手順を参照してください。 44
  45. トラブルシュート Q ハンズオンサーバーのログインに失敗する A 入力したユーザー名 / パスワードは正しいですか? (大文字、小文字を区別します) • ユーザー名:owaspkansai

    • パスワード:owasp06 45
  46. トラブルシュート Q ダウンロード時に「ファイルのウィルススキャンを実行できません 」エラーが表示される A ファイルアップロード時にウィルスチェックは行っておりますので 、「エラーを無視してダウンロード」を実行してファイルをダウン ロードしてください。 46

  47. 7. 付録 (SSHクライアントで接続) 47

  48. SSHクライアントで接続する • 今回のハンズオンは、VirtualBoxのコンソール画面を使用 せず、TeraTerm、PuTTYなどのSSHクライアントを使用 して仮想環境を操作することもできます。 • SSHクライアントのログイン画面で次の値を入力してくだ さい – IPアドレス:192.168.222.222

    – ポート番号:22 – 認証方式:パスワード認証 – ユーザー名:owaspkansai – パスワード:owasp06 48