Сегодня мы предоставим вам мастер-руководство “Как установить OWASP Juice Shop на вашу систему Kali Linux”.
Для тех, кто только начинает заниматься тестированием на проникновение или даже для профессионалов, которые хотят освежить свои навыки, вам понадобится игровая площадка, где вы сможете практиковать свои навыки взлома и различные инструменты эксплуатации, которые поставляются с дистрибутивами безопасности, такими как Kali Linux, Parrot и т.д.
Ранее мы написали статьи на эту же тему.
Установка DVWA в Kali Linux: Damn Vulnerable Web Application (DVWA) – это уязвимое веб-приложение, которое вы можете использовать для тренировки своих навыков, эксплуатируя ошибки, оставленные (намеренно) в этом приложении. Это хороший вариант для новичков и профессионалов, поскольку вы можете установить уровень сложности, переключаясь между легким, средним и тяжелым:
- DVWA – Уязвимое веб-приложение
- Настройка Damn Vulnerable Web Application (DVWA) – Лаборатория пентеста часть 1
- Настройка Damn Vulnerable Web Application (DVWA) – Лаборатория пентеста часть 2
- Настройка Damn Vulnerable Web Application (DVWA) – Лаборатория пентеста часть 3
Создайте виртуальную лабораторию тестирования на проникновение: При изучении тестирования на проникновение мы не рекомендуем проверять свои навыки или инструменты эксплуатации на других системах без разрешения.
🐉 Различные инструменты сканирования уязвимостей Kali Linux
Что такое OWASP Juice Shop?
OWASP Juice Shop – это веб-приложение, намеренно разработанное как уязвимое, предоставляющее тестировщикам проникновения и этичным хакерам платформу для отработки навыков взлома и тестирования инструментов эксплуатации.
По сравнению с другими уязвимыми веб-приложениями, используемыми для тестирования безопасности, OWASP Juice Shop является достаточно сложным, что делает его идеальным приложением для обучения наступательной безопасности и тренировки/игры в “Захват флага” (CTF).
Одной из лучших особенностей OWASP Juice hop является то, что в нем представлены некоторые из распространенных уязвимостей, которые можно найти в реальных приложениях.
Он также охватывает все уязвимости OWASP Top 10. На момент написания этого поста (2022 год) в топ-10 уязвимостей OWASP входят:
- Нарушенный контроль доступа
- Криптографические сбои
- Инъекция
- Небезопасная сборка
- Неправильная конфигурация системы безопасности
- Уязвимые и устаревшие компоненты
- Сбои идентификации и аутентификации
- Нарушения целостности программного обеспечения и данных
- Сбои в регистрации и мониторинге безопасности
- Подделка запросов на стороне сервера
В этой статье вы найдете пошаговое руководство по установке и настройке OWASP Juice Shop в вашей системе Kali Linux.
Существует три основных метода, которые вы можете использовать для установки OWASP Juice Shop.
- Использование NodeJS (рекомендуется)
- Использование Docker
- Развертывание OWASP Juice Shop на Heroku
Установка OWASP Juice Shop с помощью NodeJS (рекомендуется)
Это один из самых простых и рекомендуемых способов установки и запуска OWASP Juice Shop локально на вашей системе Kali Linux.
Хотя Docker также является одним из вариантов, нет необходимости устанавливать целую платформу контейнеризации для запуска одного приложения.
Выполните следующие шаги, чтобы установить Juice Shop с помощью NodeJS.
Шаг 1. Скачайте OWASP Juice Shop
Сначала нам нужно загрузить последнюю версию OWASP Juice Shop с их официальной страницы на GitHub.
На момент написания этого сообщения последней версией является версия 14.0.1.
Мы будем использовать команду wget для загрузки файла в нужное нам место, чтобы сохранить все в чистоте и простоте.
Поэтому щелкните правой кнопкой мыши на версии OWASP, которую вы хотите скачать, и выберите опцию “копировать адрес ссылки или копировать местоположение ссылки”.
Запустите терминал Kali Linux и используйте команду cd для перехода к месту, где вы хотите скачать файл OWASP Juice Shop.
Используйте приведенный ниже синтаксис для загрузки zip-файла в вашу систему.
sudo wget [ссылка на файл] например sudo wget https://github.com/juice-shop/juice-shop/releases/download/v14.0.1/juice-shop-14.0.1_node14_linux_x64.tgz
Нам нужно извлечь содержимое, поскольку мы скачали файл в формате “zip”.
Используйте команду unzip, как показано ниже.
tar zxvf [file-name.tgz] например: tar zxvf juice-shop-14.0.1_node14_linux_x64.tgz
Вы увидите только что извлеченную папку OWASP Juice Shop с версией вашего веб-приложения.
Шаг 2. Установите NodeJS и NPM
Теперь нам нужно установить NodeJS и NPM в нашей системе. Но здесь есть одна загвоздка!
Примечание: Вы должны установить только версию NodeJS, аналогичную версии загруженного вами установочного файла OWASP Juice Shop.
Например, в нашем случае мы скачали OWASP Juice Shop версии 14.0.1.
Следовательно, нам нужно загрузить NodeJS версии 14.
Перейдите на официальный сайт релизов NodeJS и загрузите установку NodeJS для Linux-систем.
Мы настоятельно рекомендуем использовать указанную ссылку, поскольку это единственная официальная страница, где можно скачать более ранние версии NodeJS.
В нашем случае мы загрузим файл с помощью команды wget.
Мы скопируем адрес ссылки “NodeJS для x64 Linux систем” и используем приведенный ниже синтаксис для загрузки файла в нашу систему.
sudo wget https://nodejs.org/download/release/v14.1.0/node-v14.1.0-linux-x64.tar.xz
Теперь выполните следующие шаги, чтобы установить NodeJS и NPM в нашей системе.
Извлеките содержимое файла, который мы скачали, с помощью команды tar.
sudo tar -xvf file-name например sudo tar -xvf node-v14.1.0-linux-x64.tar.xz
Вы увидите новую папку “Node”, созданную в вашей системе.
Для установки NodeJS и NPM в нашу систему нам необходимо скопировать несколько файлов из этой только что извлеченной папки в каталог /usr.
Для простоты выполните приведенную ниже команду.
sudo cp -r [наш-каталог]/{bin,include,lib,share} /usr/
например
sudo cp -r node-v14.1.0-linux-x64/{bin,include,lib,share} /usr/
Вы успешно установили NodeJS и NPm в своей системе.
Вы можете убедиться в этом, выполнив команду –version, как показано ниже.
node --version npm --version
Теперь мы можем завершить установку и настройку OWASP Juice Shop в нашей системе.
Шаг 3. Установите зависимые компоненты
Теперь вернитесь к папке OWASP Juice Shop, которую вы извлекли в шаге 1.
С помощью команды cd перейдите в эту папку и выполните команду для установки пакетов, необходимых для работы OWASP Juice Shop.
Этот процесс может занять некоторое время, в зависимости от скорости вашего интернета.
Пожалуйста, будьте терпеливы.
После завершения выполните приведенную ниже команду, чтобы запустить OWASP Juice Shop.
Эта команда запустит веб-приложение на порту 3000.
Однако если на этом порту запущено другое приложение, вы увидите опцию использования другого порта, например 3001.
Запустите браузер и введите указанный ниже URL-адрес для доступа к веб-приложению.
http://localhost:[порт]/ например., http://localhost:3000/
Вот и все! Мы успешно установили OWASP Juice Shop на нашу машину Kali Linux.
Я рекомендую вам начать с первой очевидной задачи – найти “Score Board.”.
Если вы раньше разрабатывали веб-сайты, это не должно быть сложно.
Вы можете попробовать просмотреть исходный код, угадать URL-адреса или проверить файлы Javascript.
Заключение
Я надеюсь, что это руководство было очень полезным, и теперь в вашей системе работает OWASP Juice Shop.
Поделитесь своими советами и подсказками в комментариях ниже.
Если вы столкнулись с какими-либо проблемами в процессе установки, пожалуйста, сообщите нам, и мы поможем, чем сможем.
см. также:
- ☸️ Как установить и настроить OWASP ZAP в Kubernetes или Docker
- 🌐 Nginx WAF с ModSecurity и OWASP CRS
- 🌐 OWASP APICheck – набор инструментов DevSecOps для HTTP API
- 🛡️ OWASP Risk Assessment Framework: статическое тестирование безопасности приложений
- КАК УСТАНОВИТЬ OWASPZAP ДЛЯ Denian 9.0
- JoomScan – OWASP Проект сканирования уязвимостей Joomla
- OWASP DependencyCheck – обнаруживает публично раскрытые уязвимости в приложениях
- Как установить OWASP Mantra на Kali Linux
- OWASP Nettacker – автоматизированная система тестирования на проникновение
