[OWASP Nagoya #28] OWASP Juice Shop資料

OWASP FOUNDATION ® OWASP Juice Shopを触ってみよう！ 2022/12/16

OWASP FOUNDATION 目次 1. OWASP Juice Shopの紹介 2. ハンズオン環境の作成 3.
OWASP Juice Shopの使い方 4. スコアボードの見方 5. 自由に使ってみよう 6. ローカル環境で使う 7. Appendix

OWASP FOUNDATION 1. OWASP Juice Shopの紹介

OWASP FOUNDATION OWASP Juice Shop • Webアプリケーションの脆弱性を意図的に組み込んだトレーニング用環境（やられサイト） • 2014年9月に開発開始
→2016年9月にOAWSP Projectに追加 →2018年7月にFLAGSHIP Projectに昇格 • オフィシャルサイトURL：https://owasp-juice.shop

OWASP FOUNDATION Juice Shopの名前由来 • ドイツ語で「ゴミ捨て場(お粗末な商品を販売するお店)」を"Saftladen”と呼ぶ →これを英語に再翻訳すると”Juice Shop” •
JavaScript の”JS”とJuice Shopの”JS”が一致したのは偶然

OWASP FOUNDATION 3. OWASP Juice Shopの使い方

OWASP FOUNDATION Juice Shop画面

OWASP FOUNDATION Juice Shop画面メニューを表示する

OWASP FOUNDATION Juice Shop画面商品を検索する

OWASP FOUNDATION Juice Shop画面 Juice Shop用のアカウントを作成、ログインする

OWASP FOUNDATION OWASP Juice Shopの使い方 • Juice Shopの画面上に沢山の脆弱性が組み込まれており、それを発見(=Hacking)すると結果が記録される。

OWASP FOUNDATION OWASP Juice Shopの使い方 • 発見した脆弱性はスコアボード画面で確認可能。 • ただし、スコアボードへのリンクが無い。 •
「スコアボードを表示する事」自体が課題の1つになっている。

OWASP FOUNDATION スコアボードの見つけ方 • URLを類推する • HTMLのコードを調べる • ZAPなどのテストツールを使用する •
JavaScriptのコードを調べる　→　このあと説明します …など

OWASP FOUNDATION JavaScriptのコードを調べる • Webブラウザの開発者ツール(Dev Tools)を使用する。 • 開発者ツールの起動方法(例) • ブラウザ画面上で「F12」キー

OWASP FOUNDATION 画面レイアウト、UIはブラウザによって異なります。（図はMicrosoft Edgeを使った場合、以後の画面キャプチャも同様）

OWASP FOUNDATION 「ソース」タブを選択「main.js」ファイルをダブルクリックで開く

OWASP FOUNDATION 「｛｝」ボタン（自動整形ボタン）をクリック

OWASP FOUNDATION 自動整形されたソースコードが表示される

OWASP FOUNDATION 「Ctrl」+「F」キーをタイプし、検索フォームを表示する

OWASP FOUNDATION path : “score-board”とコードが記載してある。 →怪しい 🤔 “score”で検索してみる

OWASP FOUNDATION URLに”score-board”を付加してアクセス

OWASP FOUNDATION スコアボードが表示された

OWASP FOUNDATION 一度スコアボードをアクセスするとメニューに追加される

OWASP FOUNDATION 開発者ツールの使い方(参考URL) • OWASP Web Security Testing Guide(英語) https://owasp.org/www-project-web-security-testing-gu
ide/latest/6-Appendix/F-Leveraging_Dev_Tools • Chrome DevTools(英語) https://developer.chrome.com/docs/devtools/ • Microsoft Edge DevTools https://learn.microsoft.com/ja-jp/microsoft-edge/devtoo ls-guide-chromium/landing/

OWASP FOUNDATION 4. スコアボードの見方

OWASP FOUNDATION スコアボード画面難易度・カテゴリ別に脆弱性の一覧を表示

OWASP FOUNDATION スコアボード画面挑戦結果をファイルに保存・復元

OWASP FOUNDATION スコアボード画面ステータスを表示

OWASP FOUNDATION スコアボード画面アイコン説明未発見の脆弱性、クリックすると解説ページを表示する発見済みの脆弱性クリックするとチュートリアルを表示

OWASP FOUNDATION スコアボード画面アイコン説明コーディングチャレンジ ※解決済み課題の一部に表示 ※時間の都合上　説明は割愛します

OWASP FOUNDATION 実績をエクスポート別環境のJuice Shopに実績を引き継ぎたい場合は、このボタンをクリックしてファイルを保存する

OWASP FOUNDATION 6. ローカル環境で使用する

OWASP FOUNDATION ローカル構築方法 • ソースからビルドして実行 • ビルド済みパッケージを実行　→　このあと説明します • Dockerコンテナ上で実行 •
Vagrant仮想環境で実行 • AWS(EC2)上で実行 …など • 詳細は↓に記載してあります https://github.com/juice-shop/juice-shop#setup

OWASP FOUNDATION ビルド済みパッケージを実行 Node.jsを端末にインストール https://nodejs.org/en/download/ • 64bit版 • Versionは18.x or
16.x or 14.x を選択 Versionを確認 OSに対応したインストーラを選択

OWASP FOUNDATION ビルド済みパッケージを実行 GitHubのReleaseページからJuice Shopをダウンロードし任意のフォルダに展開 https://github.com/juice-shop/juice-shop/releases ファイル名が以下の形式になっている juice-shop-<version>_<node-version>_<os>_x64 <version>
… Juice Shopのバージョン <node-version> … 対応するNode.jsのバージョン <os> … OS

OWASP FOUNDATION ビルド済みパッケージを実行コンソールウィンドウ(コマンドプロンプト)を起動し展開したディレクトリに移動後、 npm start コマンドを実行この表示になったらOK

OWASP FOUNDATION ビルド済みパッケージを実行ブラウザを起動し、 http://localhost:3000 にアクセス

OWASP FOUNDATION ビルド済みパッケージを実行スコアボードを表示し、エクスポートしたファイルを読み込ませると実績が引継ぎできる。

OWASP FOUNDATION 7. Appendix

OWASP FOUNDATION Appendix • Projectサイト https://owasp-juice.shop/ • Companion Guide https://pwning.owasp-juice.shop/

[OWASP Nagoya #28] OWASP Juice Shop資料

[OWASP Nagoya #28] OWASP Juice Shop資料

Other Decks in Technology

Featured

Transcript