Kali Linux, OWASP Juice Shop, Ultimate Kali Linux

Курс Ultimate Kali Linux — #16. Настройка уязвимых веб-приложений. OWASP Juice Shop.

Здравствуйте, дорогие друзья.

Обучение моделированию реальных кибератак, с использованием Kali Linux, не будет полным, без понимания того, как обнаруживать и использовать уязвимости в веб-приложениях. Open Web Application Security Project (OWASP) — это организация, которая занимается повышением безопасности, с помощью программного обеспечения, включая веб-приложения. OWASP известен своим списком OWASP Top 10 наиболее критических угроз безопасности в веб-приложениях.


Важная заметка
На момент написания этого раздела, последней версией OWASP Top 10 была 2017 г. Дополнительную информацию можно найти по следующему URL-адресу: https://owasp. org/www-project-top-ten/2017/.

Начинающему тестировщику на проникновение, важно понимать, как идентифицировать и проводить тестирование безопасности в каждой категории из списка OWASP Top 10. OWASP создало несколько проектов, которые позволяют учащимся безопасно использовать свои наступательные навыки и методы обеспечения безопасности, в безопасной среде, для обнаружения уязвимостей веб-приложений и их эксплуатации.
В этом разделе мы будем развертывать проекты OWASP Juice Shop и OWASP Broken Web Applications (BWA) в нашей лаборатории.


Давайте приступим к развертыванию OWASP Juice Shop и OWASP BWA!

Часть 1. Развертывание OWASP Juice Shop
Следующие шаги обеспечат точную настройку уязвимого веб-приложения OWASP Juice Shop, и его бесперебойную работу в Вашей системе:

  1. Убедитесь, что у Kali Linux есть подключение к Интернету, поскольку Вам нужно будет загрузить несколько компонентов.
  2. В Kali Linux откройте терминал и используйте следующие команды для загрузки ключа Docker Pretty Good Privacy (PGP):
    curl -fsSL https://download.docker.com/linux/debian/gpg | gpg --dearmor | sudo tee /usr/share/keyrings/docker- archive-keyring.gpg >/dev/null
    На следующем снимке экрана показаны ожидаемые результаты при правильном выполнении:
Installing Docker PGP keys
  1. Затем используйте следующие команды для настройки репозитория Docker APT в Вашей системе Kali Linux:
    echo 'deb [arch=amd64 signed-by=/usr/share/keyrings/ docker-archive-keyring.gpg] https://download.docker.com/ linux/debian buster stable' | sudo tee /etc/apt/sources. list.d/docker.list
    На следующем снимке экрана показано, как выполнять команды на терминале:
Configuring the Docker repository
  1. Затем используйте следующую команду, чтобы обновить список источников репозитория в Kali Linux:
    sudo apt-get update
  2. Теперь мы можем установить Docker в Kali Linux, используя следующую команду:
    sudo apt install -y docker-ce docker-ce-cli containerd.io
    На следующем снимке экрана показаны ожидаемые результаты, после правильного выполнения этих команд:
Installing Docker on Kali Linux
  1. На данный момент Docker успешно установлен на Kali Linux. Чтобы загрузить Docker-контейнер OWASP Juice Shop, используйте следующую команду:
    sudo docker pull bkimminich/juice-shop
    На следующем снимке экрана показано, как загружается Docker-контейнер OWASP Juice Shop:
OWASP Juice Shop Docker container
  1. Затем, чтобы запустить OWASP Juice Shop в Docker, используйте следующую команду:
    sudo docker run --rm -p 3000:3000 bkimminich/juice-shop
    На следующем снимке экрана показано, что Docker запускает контейнер OWASP Juice Shop:
Starting the OWASP Juice Shop Docker container

Чтобы остановить контейнер в любой момент, используйте Ctrl + Q или просто нажмите сочетание клавиш Q.

  1. Наконец, чтобы получить доступ к интерфейсу OWASP Juice Shop, откройте веб-браузер в Kali Linux, и перейдите по адресу http://localhost:3000/, как показано здесь:
OWASP Juice Shop user interface

Далее, давайте настроим проект OWASP Broken Web Applications как виртуальную машину в топологии нашей лаборатории тестирования на проникновение.
Но этим будем заниматься уже в следующем разделе.

Ultimate Kali Linux

На этом все. Всем хорошего дня!

Цикл статей по курсу Ultimate Kali Linux.