Курс Ultimate Kali Linux — #16. Настройка уязвимых веб-приложений. OWASP Juice Shop.
Здравствуйте, дорогие друзья.
Обучение моделированию реальных кибератак, с использованием Kali Linux, не будет полным, без понимания того, как обнаруживать и использовать уязвимости в веб-приложениях. Open Web Application Security Project (OWASP) — это организация, которая занимается повышением безопасности, с помощью программного обеспечения, включая веб-приложения. OWASP известен своим списком OWASP Top 10 наиболее критических угроз безопасности в веб-приложениях.
Важная заметка
На момент написания этого раздела, последней версией OWASP Top 10 была 2017 г. Дополнительную информацию можно найти по следующему URL-адресу: https://owasp. org/www-project-top-ten/2017/.
Начинающему тестировщику на проникновение, важно понимать, как идентифицировать и проводить тестирование безопасности в каждой категории из списка OWASP Top 10. OWASP создало несколько проектов, которые позволяют учащимся безопасно использовать свои наступательные навыки и методы обеспечения безопасности, в безопасной среде, для обнаружения уязвимостей веб-приложений и их эксплуатации.
В этом разделе мы будем развертывать проекты OWASP Juice Shop и OWASP Broken Web Applications (BWA) в нашей лаборатории.
Давайте приступим к развертыванию OWASP Juice Shop и OWASP BWA!
Часть 1. Развертывание OWASP Juice Shop
Следующие шаги обеспечат точную настройку уязвимого веб-приложения OWASP Juice Shop, и его бесперебойную работу в Вашей системе:
- Убедитесь, что у Kali Linux есть подключение к Интернету, поскольку Вам нужно будет загрузить несколько компонентов.
- В Kali Linux откройте терминал и используйте следующие команды для загрузки ключа Docker Pretty Good Privacy (PGP):
curl -fsSL https://download.docker.com/linux/debian/gpg | gpg --dearmor | sudo tee /usr/share/keyrings/docker- archive-keyring.gpg >/dev/null
На следующем снимке экрана показаны ожидаемые результаты при правильном выполнении:
- Затем используйте следующие команды для настройки репозитория Docker APT в Вашей системе Kali Linux:
echo 'deb [arch=amd64 signed-by=/usr/share/keyrings/ docker-archive-keyring.gpg] https://download.docker.com/ linux/debian buster stable' | sudo tee /etc/apt/sources. list.d/docker.list
На следующем снимке экрана показано, как выполнять команды на терминале:
- Затем используйте следующую команду, чтобы обновить список источников репозитория в Kali Linux:
sudo apt-get update - Теперь мы можем установить Docker в Kali Linux, используя следующую команду:
sudo apt install -y docker-ce docker-ce-cli containerd.io
На следующем снимке экрана показаны ожидаемые результаты, после правильного выполнения этих команд:
- На данный момент Docker успешно установлен на Kali Linux. Чтобы загрузить Docker-контейнер OWASP Juice Shop, используйте следующую команду:
sudo docker pull bkimminich/juice-shop
На следующем снимке экрана показано, как загружается Docker-контейнер OWASP Juice Shop:
- Затем, чтобы запустить OWASP Juice Shop в Docker, используйте следующую команду:
sudo docker run --rm -p 3000:3000 bkimminich/juice-shop
На следующем снимке экрана показано, что Docker запускает контейнер OWASP Juice Shop:
Чтобы остановить контейнер в любой момент, используйте Ctrl + Q или просто нажмите сочетание клавиш Q.
- Наконец, чтобы получить доступ к интерфейсу OWASP Juice Shop, откройте веб-браузер в Kali Linux, и перейдите по адресу http://localhost:3000/, как показано здесь:
Далее, давайте настроим проект OWASP Broken Web Applications как виртуальную машину в топологии нашей лаборатории тестирования на проникновение.
Но этим будем заниматься уже в следующем разделе.
На этом все. Всем хорошего дня!