Здравствуйте, дорогие друзья.

Обучение моделированию реальных кибератак, с использованием Kali Linux, не будет полным, без понимания того, как обнаруживать и использовать уязвимости в веб-приложениях. Open Web Application Security Project (OWASP) — это организация, которая занимается повышением безопасности, с помощью программного обеспечения, включая веб-приложения. OWASP известен своим списком OWASP Top 10 наиболее критических угроз безопасности в веб-приложениях.

Важная заметка
На момент написания этого раздела, последней версией OWASP Top 10 была 2017 г. Дополнительную информацию можно найти по следующему URL-адресу: https://owasp. org/www-project-top-ten/2017/.

Начинающему тестировщику на проникновение, важно понимать, как идентифицировать и проводить тестирование безопасности в каждой категории из списка OWASP Top 10. OWASP создало несколько проектов, которые позволяют учащимся безопасно использовать свои наступательные навыки и методы обеспечения безопасности, в безопасной среде, для обнаружения уязвимостей веб-приложений и их эксплуатации.
В этом разделе мы будем развертывать проекты OWASP Juice Shop и OWASP Broken Web Applications (BWA) в нашей лаборатории.

Давайте приступим к развертыванию OWASP Juice Shop и OWASP BWA!

Часть 1. Развертывание OWASP Juice Shop
Следующие шаги обеспечат точную настройку уязвимого веб-приложения OWASP Juice Shop, и его бесперебойную работу в Вашей системе:

1. Убедитесь, что у Kali Linux есть подключение к Интернету, поскольку Вам нужно будет загрузить несколько компонентов.
2. В Kali Linux откройте терминал и используйте следующие команды для загрузки ключа Docker Pretty Good Privacy (PGP):
   curl -fsSL https://download.docker.com/linux/debian/gpg | gpg --dearmor | sudo tee /usr/share/keyrings/docker- archive-keyring.gpg >/dev/null
   На следующем снимке экрана показаны ожидаемые результаты при правильном выполнении:

3. Затем используйте следующие команды для настройки репозитория Docker APT в Вашей системе Kali Linux:
   echo 'deb [arch=amd64 signed-by=/usr/share/keyrings/ docker-archive-keyring.gpg] https://download.docker.com/ linux/debian buster stable' | sudo tee /etc/apt/sources. list.d/docker.list
   На следующем снимке экрана показано, как выполнять команды на терминале:

4. Затем используйте следующую команду, чтобы обновить список источников репозитория в Kali Linux:
   sudo apt-get update
5. Теперь мы можем установить Docker в Kali Linux, используя следующую команду:
   sudo apt install -y docker-ce docker-ce-cli containerd.io
   На следующем снимке экрана показаны ожидаемые результаты, после правильного выполнения этих команд:

6. На данный момент Docker успешно установлен на Kali Linux. Чтобы загрузить Docker-контейнер OWASP Juice Shop, используйте следующую команду:
   sudo docker pull bkimminich/juice-shop
   На следующем снимке экрана показано, как загружается Docker-контейнер OWASP Juice Shop:

7. Затем, чтобы запустить OWASP Juice Shop в Docker, используйте следующую команду:
   sudo docker run --rm -p 3000:3000 bkimminich/juice-shop
   На следующем снимке экрана показано, что Docker запускает контейнер OWASP Juice Shop:

Чтобы остановить контейнер в любой момент, используйте Ctrl + Q или просто нажмите сочетание клавиш Q.

8. Наконец, чтобы получить доступ к интерфейсу OWASP Juice Shop, откройте веб-браузер в Kali Linux, и перейдите по адресу http://localhost:3000/, как показано здесь:

Далее, давайте настроим проект OWASP Broken Web Applications как виртуальную машину в топологии нашей лаборатории тестирования на проникновение.
Но этим будем заниматься уже в следующем разделе.

На этом все. Всем хорошего дня!

Цикл статей по курсу Ultimate Kali Linux.