OWASP Juice ShopでWebアプリの脆弱性を試す

★★★ Live配信告知 ★★★

9/10のPS Live配信は、Ansibleの概要・特徴から始め、Ansibleでどのような改善、自動化ができるかについて、よくある運用パターンを紹介しながらお話します。
【2021/9/10(金) 17:00〜17:30】

みなさんこんにちは、サイオステクノロジー武井です。今回はOWASP Juice Shopをご紹介したいと思います。

OWASP Juice Shopって?

OWASPとはOpen Web Application Security Projectの略で、「おわすぷ」って読みます。Webアプリケーションのセキュリティに関するプロフェッショナルたちが所属している団体で、Webアプリケーションのセキュリティに関する調査・検証を行い、そのレポートを公開し、啓発活動を行っている団体です。

よく聞くところで言えば、Web Application Firewall(WAF)にはOWASPが作成した調査内容に基づくルールセットがデフォルトで組み込まれていたりしまします。

そんなOWASPが提供しているのが「OWASP Juice Shop」なのですが、これはあらかじめWebアプリケーションの脆弱性が組み込まれているサンプルWebアプリケーションです。

https://owasp.org/www-project-juice-shop/

その脆弱性の内容は事前には公開されておらず、ゲーム形式でどんな脆弱性が仕込まれているか調べる感じです。Webアプリケーションセキュリティに関するトレーニングをしたり、セキュリティの検証をしたりといったことが目的になります。

あ、なんでこれを紹介するかっていうとWAFの検証をしていて、なんか適当な脆弱性あるアプリないかなと探していたら、このOWASP Juice Shopが見つかった次第です。

やってみよう!!

ちょっとネタバレありますので、ご注意ください。

Dockerがインストールされていればサクッと起動できます。

 

http://localhost:3000/にアクセスすると以下のような画面が表示されます。これでOWASP Juice Shopの起動は成功です。

 

実際にSQLインジェクションの脆弱性を試してみます。このあたりがネタバレです。自分でチャレンジしてみたいという人は飛ばしてくださいませ。

画面右上の「Account」をクリックして、「Login」をクリックします。

 

ログイン画面が表示されます。

 

「EMail」の部分に「1′ OR 1=1;」以下を入力します。「Password」は適当でOKです。「Log in」をクリックしてください。

 

すると、あら不思議、ログインできてしまいました。SQLインジェクションの脆弱性をつついた感じです。

まとめ

他にもいろんな脆弱性が仕込まれていますので、ぜひいろいろ試して全クリして、スーパーハカーになってみましょう。





ご覧いただきありがとうございます。
ブログの最新情報はSNSでも発信しております。
ぜひTwitterのフォロー&Facebookページにいいねをお願い致します!



>> 雑誌等の執筆依頼を受付しております。
   ご希望の方はお気軽にお問い合わせください!


ご覧いただきありがとうございます! この投稿はお役に立ちましたか?

役に立った 役に立たなかった

0人がこの投稿は役に立ったと言っています。

Be the first to comment

Leave a Reply

Your email address will not be published.


*