★★★ お知らせ ★★★

◆ Cassandra Dayに登壇 6/1(木) ◆
6月1日開催のイベント Cassandra Day - Tokyo に当社のエンジニアが登壇します！
今回「Cassandra適用のポイントと実案件での苦労話」と題して、RDBMSでは実現困難であった顧客要件をCassandraで簡単に実現できる実例を踏まえて、その適用のポイントをわかりやすく解説します。
⇒ イベント詳細はこちらから

◆ 6月のPS Liveは決済サービスStripeのデモ！◆
決済サービスのStripeでサブスクリプションの支払い機能を作ってみた
Stripeの機能の一部を切り出して、簡単なサブスクリプションを作るとどうなるのかを、デモをまじえてご紹介します。
⇒ 詳細はこちらから

◆【セミナー開催】可視化ツールGrafana～初めてのダッシュボード作成◆
デモンストレーション付き！
本セミナーでは、売上データを用いて、4種類のパネル作成方法をお見せします。
⇒ お申込みはこちらから

◆ エンジニア業務環境アンケート結果 ◆
エンジニアが自分の働き方にどういったことで満足していて、不満を感じているのか、働きたい会社像として何を求めているのか、業務環境調査を実施しました。ぜひご覧ください。
⇒ アンケート結果はこちらから

みなさんこんにちは、サイオステクノロジー武井です。今回はOWASP Juice Shopをご紹介したいと思います。

1 OWASP Juice Shopって？
2 やってみよう！！
3 まとめ

OWASP Juice Shopって？

OWASPとはOpen Web Application Security Projectの略で、「おわすぷ」って読みます。Webアプリケーションのセキュリティに関するプロフェッショナルたちが所属している団体で、Webアプリケーションのセキュリティに関する調査・検証を行い、そのレポートを公開し、啓発活動を行っている団体です。

よく聞くところで言えば、Web Application Firewall(WAF)にはOWASPが作成した調査内容に基づくルールセットがデフォルトで組み込まれていたりしまします。

そんなOWASPが提供しているのが「OWASP Juice Shop」なのですが、これはあらかじめWebアプリケーションの脆弱性が組み込まれているサンプルWebアプリケーションです。

https://owasp.org/www-project-juice-shop/

その脆弱性の内容は事前には公開されておらず、ゲーム形式でどんな脆弱性が仕込まれているか調べる感じです。Webアプリケーションセキュリティに関するトレーニングをしたり、セキュリティの検証をしたりといったことが目的になります。

あ、なんでこれを紹介するかっていうとWAFの検証をしていて、なんか適当な脆弱性あるアプリないかなと探していたら、このOWASP Juice Shopが見つかった次第です。

やってみよう！！

ちょっとネタバレありますので、ご注意ください。

Dockerがインストールされていればサクッと起動できます。

$ docker pull bkimminich/juice-shop
$ docker run --rm -p 3000:3000 bkimminich/juice-shop

http://localhost:3000/にアクセスすると以下のような画面が表示されます。これでOWASP Juice Shopの起動は成功です。

実際にSQLインジェクションの脆弱性を試してみます。このあたりがネタバレです。自分でチャレンジしてみたいという人は飛ばしてくださいませ。

画面右上の「Account」をクリックして、「Login」をクリックします。

ログイン画面が表示されます。

「EMail」の部分に「1′ OR 1=1;」以下を入力します。「Password」は適当でOKです。「Log in」をクリックしてください。

すると、あら不思議、ログインできてしまいました。SQLインジェクションの脆弱性をつついた感じです。

まとめ

他にもいろんな脆弱性が仕込まれていますので、ぜひいろいろ試して全クリして、スーパーハカーになってみましょう。

About 武井宜行

Microsoft MVP for Azure🌟「最新の技術を楽しくわかりやすく」をモットーにブログtech-lab.sios.jp)で情報を発信🎤得意分野はAzureによるクラウドネイティブな開発(Javaなど)💻「世界一わかりみの深いクラウドネイティブ on Azure」の動画を配信中📹 https://t.co/OMaJYb3pRN