Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
[OWASP Nagoya #28] OWASP Juice Shop資料
Search
OWASP Nagoya
December 16, 2022
Technology
0
420
[OWASP Nagoya #28] OWASP Juice Shop資料
OWASP Nagoya
December 16, 2022
Tweet
Share
Other Decks in Technology
See All in Technology
継続的な改善 x ⾮連続的な進化
sansantech
PRO
3
120
MySQL の SQL クエリチューニングの要所を掴む勉強会
andpad
2
4.9k
プロデザ! BY リクルート vol.18_リクルートのリサーチ実践組織「リサーチブーストコミュニティ」
recruitengineers
PRO
3
260
VS CodeでAWSを操作しよう
smt7174
7
1.6k
エンジニアのキャリアをちょっと楽しくする3本の軸/Three Pillars to Make an Engineer's Career More Enjoyable
kwappa
0
2.4k
The CloudCompare project by Dr. Daniel Girardeau-Montaut
kentaitakura
0
520
ServiceNow Knowledge 24の歩き方 EYストラテジー・アンド・コンサルティング
manarobot
0
170
JAWS-UG Bedrock Claude Night
yamahiro
3
430
生産性向上チームの紹介
cybozuinsideout
PRO
1
840
Meta Quest 3 で動く桜マシマシ WebXR アプリを IBM Cloud Code Engine と Babylon.js で作った話
1ftseabass
PRO
0
110
Postman v10リリース後を振り返る / Looking back at Postman v10 after release
yokawasa
1
150
Azure Container Apps + Bicep 〜 こんな感じで運用しています
kaz29
2
370
Featured
See All Featured
Designing on Purpose - Digital PM Summit 2013
jponch
110
6.4k
Thoughts on Productivity
jonyablonski
57
3.8k
Designing Experiences People Love
moore
136
23k
VelocityConf: Rendering Performance Case Studies
addyosmani
320
23k
Being A Developer After 40
akosma
56
580k
Adopting Sorbet at Scale
ufuk
67
8.6k
Fireside Chat
paigeccino
20
2.6k
The Cult of Friendly URLs
andyhume
74
5.7k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
273
13k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
220
21k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
16
1.4k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
39
4.4k
Transcript
OWASP FOUNDATION ® OWASP Juice Shopを 触ってみよう! 2022/12/16
OWASP FOUNDATION 目次 1. OWASP Juice Shopの紹介 2. ハンズオン環境の作成 3.
OWASP Juice Shopの使い方 4. スコアボードの見方 5. 自由に使ってみよう 6. ローカル環境で使う 7. Appendix
OWASP FOUNDATION 1. OWASP Juice Shopの紹介
OWASP FOUNDATION OWASP Juice Shop • Webアプリケーションの脆弱性を意図的に組み込んだトレー ニング用環境(やられサイト) • 2014年9月に開発開始
→2016年9月にOAWSP Projectに追加 →2018年7月にFLAGSHIP Projectに昇格 • オフィシャルサイトURL:https://owasp-juice.shop
OWASP FOUNDATION Juice Shopの名前由来 • ドイツ語で「ゴミ捨て場(お粗末な商品を販売するお店)」 を"Saftladen”と呼ぶ →これを英語に再翻訳すると”Juice Shop” •
JavaScript の”JS”とJuice Shopの”JS”が一致したのは偶然
OWASP FOUNDATION 3. OWASP Juice Shopの使い方
OWASP FOUNDATION Juice Shop画面
OWASP FOUNDATION Juice Shop画面 メニューを表示する
OWASP FOUNDATION Juice Shop画面 商品を検索する
OWASP FOUNDATION Juice Shop画面 Juice Shop用のアカウントを作 成、ログインする
OWASP FOUNDATION OWASP Juice Shopの使い方 • Juice Shopの画面上に沢山の脆弱性が組み込まれており、そ れを発見(=Hacking)すると結果が記録される。
OWASP FOUNDATION OWASP Juice Shopの使い方 • 発見した脆弱性はスコアボード画面で確認可能。 • ただし、スコアボードへのリンクが無い。 •
「スコアボードを表示する事」自体が課題の1つになっている。
OWASP FOUNDATION スコアボードの見つけ方 • URLを類推する • HTMLのコードを調べる • ZAPなどのテストツールを使用する •
JavaScriptのコードを調べる → このあと説明します …など
OWASP FOUNDATION JavaScriptのコードを調べる • Webブラウザの開発者ツール(Dev Tools)を使用する。 • 開発者ツールの起動方法(例) • ブラウザ画面上で「F12」キー
OWASP FOUNDATION 画面レイアウト、UIはブラウザによって異なります。 (図はMicrosoft Edgeを使った場合、以後の画面キャプチャも同様)
OWASP FOUNDATION 「ソース」タブを選択 「main.js」ファイルをダブルクリックで開く
OWASP FOUNDATION 「{}」ボタン(自動整形ボタン)をクリック
OWASP FOUNDATION 自動整形されたソースコードが表示される
OWASP FOUNDATION 「Ctrl」+「F」キーをタイプし、検索フォームを表示する
OWASP FOUNDATION path : “score-board”とコードが記載してある。 →怪しい 🤔 “score”で検索してみる
OWASP FOUNDATION URLに”score-board”を付加してアクセス
OWASP FOUNDATION スコアボードが表示された
OWASP FOUNDATION 一度スコアボードをアクセスするとメニューに追加される
OWASP FOUNDATION 開発者ツールの使い方(参考URL) • OWASP Web Security Testing Guide(英語) https://owasp.org/www-project-web-security-testing-gu
ide/latest/6-Appendix/F-Leveraging_Dev_Tools • Chrome DevTools(英語) https://developer.chrome.com/docs/devtools/ • Microsoft Edge DevTools https://learn.microsoft.com/ja-jp/microsoft-edge/devtoo ls-guide-chromium/landing/
OWASP FOUNDATION 4. スコアボードの見方
OWASP FOUNDATION スコアボード画面 難易度・カテゴリ別に脆弱性の一覧を表示
OWASP FOUNDATION スコアボード画面 挑戦結果をファイルに保存・復元
OWASP FOUNDATION スコアボード画面 ステータスを表示
OWASP FOUNDATION スコアボード画面 アイコン 説明 未発見の脆弱性、クリックすると解説ページを表示する 発見済みの脆弱性 クリックするとチュートリアルを表示
OWASP FOUNDATION スコアボード画面 アイコン 説明 コーディングチャレンジ ※解決済み課題の一部に表示 ※時間の都合上 説明は割愛します
OWASP FOUNDATION 実績をエクスポート 別環境のJuice Shopに実績を引き継ぎたい場合は、この ボタンをクリックしてファイルを保存する
OWASP FOUNDATION 6. ローカル環境で使用する
OWASP FOUNDATION ローカル構築方法 • ソースからビルドして実行 • ビルド済みパッケージを実行 → このあと説明します • Dockerコンテナ上で実行 •
Vagrant仮想環境で実行 • AWS(EC2)上で実行 …など • 詳細は↓に記載してあります https://github.com/juice-shop/juice-shop#setup
OWASP FOUNDATION ビルド済みパッケージを実行 Node.jsを端末にインストール https://nodejs.org/en/download/ • 64bit版 • Versionは18.x or
16.x or 14.x を選択 Versionを確認 OSに対応したインストーラを選択
OWASP FOUNDATION ビルド済みパッケージを実行 GitHubのReleaseページからJuice Shopをダウンロードし任意の フォルダに展開 https://github.com/juice-shop/juice-shop/releases ファイル名が以下の形式になっている juice-shop-<version>_<node-version>_<os>_x64 <version>
… Juice Shopのバージョン <node-version> … 対応するNode.jsのバージョン <os> … OS
OWASP FOUNDATION ビルド済みパッケージを実行 コンソールウィンドウ(コマンドプロンプト)を起動し展開した ディレクトリに移動後、 npm start コマンドを実行 この表示になったらOK
OWASP FOUNDATION ビルド済みパッケージを実行 ブラウザを起動し、 http://localhost:3000 にアクセス
OWASP FOUNDATION ビルド済みパッケージを実行 スコアボードを表示し、エクスポートしたファ イルを読み込ませると実績が引継ぎできる。
OWASP FOUNDATION 7. Appendix
OWASP FOUNDATION Appendix • Projectサイト https://owasp-juice.shop/ • Companion Guide https://pwning.owasp-juice.shop/