[OWASP Nagoya #28] OWASP Juice Shop資料

Transcript

1. OWASP FOUNDATION ® OWASP Juice Shopを 触ってみよう！ 2022/12/16

2. OWASP FOUNDATION 目次 1. OWASP Juice Shopの紹介 2. ハンズオン環境の作成 3.

   OWASP Juice Shopの使い方 4. スコアボードの見方 5. 自由に使ってみよう 6. ローカル環境で使う 7. Appendix

3. OWASP FOUNDATION 1. OWASP Juice Shopの紹介

4. OWASP FOUNDATION OWASP Juice Shop • Webアプリケーションの脆弱性を意図的に組み込んだトレー ニング用環境（やられサイト） • 2014年9月に開発開始

   →2016年9月にOAWSP Projectに追加 →2018年7月にFLAGSHIP Projectに昇格 • オフィシャルサイトURL：https://owasp-juice.shop

5. OWASP FOUNDATION Juice Shopの名前由来 • ドイツ語で「ゴミ捨て場(お粗末な商品を販売するお店)」 を"Saftladen”と呼ぶ →これを英語に再翻訳すると”Juice Shop” •

   JavaScript の”JS”とJuice Shopの”JS”が一致したのは偶然

6. OWASP FOUNDATION 3. OWASP Juice Shopの使い方

7. OWASP FOUNDATION Juice Shop画面

8. OWASP FOUNDATION Juice Shop画面 メニューを表示する

9. OWASP FOUNDATION Juice Shop画面 商品を検索する

10. OWASP FOUNDATION Juice Shop画面 Juice Shop用のアカウントを作 成、ログインする

11. OWASP FOUNDATION OWASP Juice Shopの使い方 • Juice Shopの画面上に沢山の脆弱性が組み込まれており、そ れを発見(=Hacking)すると結果が記録される。

12. OWASP FOUNDATION OWASP Juice Shopの使い方 • 発見した脆弱性はスコアボード画面で確認可能。 • ただし、スコアボードへのリンクが無い。 •

    「スコアボードを表示する事」自体が課題の1つになっている。

13. OWASP FOUNDATION スコアボードの見つけ方 • URLを類推する • HTMLのコードを調べる • ZAPなどのテストツールを使用する •

    JavaScriptのコードを調べる　→　このあと説明します …など

14. OWASP FOUNDATION JavaScriptのコードを調べる • Webブラウザの開発者ツール(Dev Tools)を使用する。 • 開発者ツールの起動方法(例) • ブラウザ画面上で「F12」キー

15. OWASP FOUNDATION 画面レイアウト、UIはブラウザによって異なります。 （図はMicrosoft Edgeを使った場合、以後の画面キャプチャも同様）

16. OWASP FOUNDATION 「ソース」タブを選択 「main.js」ファイルをダブルクリックで開く

17. OWASP FOUNDATION 「｛｝」ボタン（自動整形ボタン）をクリック

18. OWASP FOUNDATION 自動整形されたソースコードが表示される

19. OWASP FOUNDATION 「Ctrl」+「F」キーをタイプし、検索フォームを表示する

20. OWASP FOUNDATION path : “score-board”とコードが記載してある。 →怪しい 🤔 “score”で検索してみる

21. OWASP FOUNDATION URLに”score-board”を付加してアクセス

22. OWASP FOUNDATION スコアボードが表示された

23. OWASP FOUNDATION 一度スコアボードをアクセスするとメニューに追加される

24. OWASP FOUNDATION 開発者ツールの使い方(参考URL) • OWASP Web Security Testing Guide(英語) https://owasp.org/www-project-web-security-testing-gu

    ide/latest/6-Appendix/F-Leveraging_Dev_Tools • Chrome DevTools(英語) https://developer.chrome.com/docs/devtools/ • Microsoft Edge DevTools https://learn.microsoft.com/ja-jp/microsoft-edge/devtoo ls-guide-chromium/landing/

25. OWASP FOUNDATION 4. スコアボードの見方

26. OWASP FOUNDATION スコアボード画面 難易度・カテゴリ別に脆弱性の一覧を表示

27. OWASP FOUNDATION スコアボード画面 挑戦結果をファイルに保存・復元

28. OWASP FOUNDATION スコアボード画面 ステータスを表示

29. OWASP FOUNDATION スコアボード画面 アイコン 説明 未発見の脆弱性、クリックすると解説ページを表示する 発見済みの脆弱性 クリックするとチュートリアルを表示

30. OWASP FOUNDATION スコアボード画面 アイコン 説明 コーディングチャレンジ ※解決済み課題の一部に表示 ※時間の都合上 　説明は割愛します

31. OWASP FOUNDATION 実績をエクスポート 別環境のJuice Shopに実績を引き継ぎたい場合は、この ボタンをクリックしてファイルを保存する

32. OWASP FOUNDATION 6. ローカル環境で使用する

33. OWASP FOUNDATION ローカル構築方法 • ソースからビルドして実行 • ビルド済みパッケージを実行　→　このあと説明します • Dockerコンテナ上で実行 •

    Vagrant仮想環境で実行 • AWS(EC2)上で実行 …など • 詳細は↓に記載してあります https://github.com/juice-shop/juice-shop#setup

34. OWASP FOUNDATION ビルド済みパッケージを実行 Node.jsを端末にインストール https://nodejs.org/en/download/ • 64bit版 • Versionは18.x or

    16.x or 14.x を選択 Versionを確認 OSに対応したインストーラを選択

35. OWASP FOUNDATION ビルド済みパッケージを実行 GitHubのReleaseページからJuice Shopをダウンロードし任意の フォルダに展開 https://github.com/juice-shop/juice-shop/releases ファイル名が以下の形式になっている juice-shop-<version>_<node-version>_<os>_x64 <version>

    … Juice Shopのバージョン <node-version> … 対応するNode.jsのバージョン <os> … OS

36. OWASP FOUNDATION ビルド済みパッケージを実行 コンソールウィンドウ(コマンドプロンプト)を起動し展開した ディレクトリに移動後、 npm start コマンドを実行 この表示になったらOK

37. OWASP FOUNDATION ビルド済みパッケージを実行 ブラウザを起動し、 http://localhost:3000 にアクセス

38. OWASP FOUNDATION ビルド済みパッケージを実行 スコアボードを表示し、エクスポートしたファ イルを読み込ませると実績が引継ぎできる。

39. OWASP FOUNDATION 7. Appendix

40. OWASP FOUNDATION Appendix • Projectサイト https://owasp-juice.shop/ • Companion Guide https://pwning.owasp-juice.shop/