みなさんこんにちは、サイオステクノロジー武井です。今回はOWASP Juice Shopをご紹介したいと思います。

OWASP Juice Shopって？

OWASPとはOpen Web Application Security Projectの略で、「おわすぷ」って読みます。Webアプリケーションのセキュリティに関するプロフェッショナルたちが所属している団体で、Webアプリケーションのセキュリティに関する調査・検証を行い、そのレポートを公開し、啓発活動を行っている団体です。

よく聞くところで言えば、Web Application Firewall(WAF)にはOWASPが作成した調査内容に基づくルールセットがデフォルトで組み込まれていたりしまします。

そんなOWASPが提供しているのが「OWASP Juice Shop」なのですが、これはあらかじめWebアプリケーションの脆弱性が組み込まれているサンプルWebアプリケーションです。

https://owasp.org/www-project-juice-shop/

その脆弱性の内容は事前には公開されておらず、ゲーム形式でどんな脆弱性が仕込まれているか調べる感じです。Webアプリケーションセキュリティに関するトレーニングをしたり、セキュリティの検証をしたりといったことが目的になります。

あ、なんでこれを紹介するかっていうとWAFの検証をしていて、なんか適当な脆弱性あるアプリないかなと探していたら、このOWASP Juice Shopが見つかった次第です。

やってみよう！！

ちょっとネタバレありますので、ご注意ください。

Dockerがインストールされていればサクッと起動できます。

$ docker pull bkimminich/juice-shop
$ docker run --rm -p 3000:3000 bkimminich/juice-shop

http://localhost:3000/にアクセスすると以下のような画面が表示されます。これでOWASP Juice Shopの起動は成功です。

実際にSQLインジェクションの脆弱性を試してみます。このあたりがネタバレです。自分でチャレンジしてみたいという人は飛ばしてくださいませ。

画面右上の「Account」をクリックして、「Login」をクリックします。

ログイン画面が表示されます。

「EMail」の部分に「1′ OR 1=1;」以下を入力します。「Password」は適当でOKです。「Log in」をクリックしてください。

すると、あら不思議、ログインできてしまいました。SQLインジェクションの脆弱性をつついた感じです。

まとめ

他にもいろんな脆弱性が仕込まれていますので、ぜひいろいろ試して全クリして、スーパーハカーになってみましょう。