Security

OWASP Juice Shop の進め方(時間がない場合)

投稿日:

1. はじめに

OWASP Juice Shop は、多くの脆弱性が含まれた Webアプリケーションです。

自分専用の環境にセットアップして、Webアプリケーションの一般的な脆弱性について学習することができます。

本来は、ヒントのない状態で自分で脆弱性を探し出すのが望ましいのでしょうが、その時間がない場合を想定した進め方について書いておきます。

2. 進め方(時間がない場合)

(1) Challenge hunting にある表から、学習する脆弱性項目を選ぶ。

  • 1回目は、「Score Board」を選びましょう。
  • 2回目からは、Score Board ページ上から、次に選ぶ項目を探すのもよいです。そちらには難易度が載っていますので。
Challenge hunting
Score Board ページ(難易度 (Difficulty)が載っています)

(2) 選んだ項目の右側にあるヒントアイコン 💡 をクリックして、その項目についての説明を読む。

  • 項目によってリンクされている説明ページは異なります。
  • Score Board 画面上の各項目の右側にあるアイコンをクリックしても同じ説明ページを開くことができます。

(3) その脆弱性を探す。

  • OWASP Juice Shop にある脆弱性を頑張って探します。
  • 普通にやったら相当な時間が掛かる項目もあるので、時間がないのなら諦めが肝心です。

(4) Challenge hunting の表の一番右にある解答アイコン 📕 をクリックして、解答に関する説明を読む。

  • どの解答アイコンも、Challenge solutions ページにリンクされています。
  • その脆弱性について調べて原理を理解しましょう。

(5) (1) に戻る。

3. 関連記事

Web Security

Windows 10 に OWASP Juice Shop をセットアップする

2022.08.25
Web Security

OWASP Juice Shop の Coding challenges の進め方

2022.08.27

📂-Security
-

執筆者:labo


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

no image

クロスサイト・スクリプティング対策 by IPA「安全なウェブサイトの作り方 第7版」

photo credit: XSS attack on YouTube via photopin (license) 安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「クロスサイ …

セキュリティ

セキュリティの会社も疑ってみる

セキュリティの会社であっても営利企業なので、いろいろ思惑があって動くこともありますよ。 気を付けましょう。 全く出鱈目な注意喚起。対策の案内が出鱈目。https://t.co/gTCApCppvV(ネ …

Web Security

PHPのセキュリティ対策

PHP を安全に使うため、気を付けるべきポイントについて書いています。 目次1. ユーザーによる入力値の検証2. クロスサイトスクリプティング(XSS)対策1) HTML テキストの入力を許可しない場 …

no image

クリックジャッキング by IPA「安全なウェブサイトの作り方 第7版」

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「クリックジャッキング」から一部抜粋する。(この資料はPDFでしか提供されていない) 目次注意が必要なウェブサイトの特徴根本的解決 …

Web Security

CSP (Contents Security Policy) の記述例

目次記述例メモその他のメモ参考 記述例 デフォルト設定の記述をする(HTTPレスポンスヘッダの出力)。 同一オリジンも含めて全てのソース1からの読み込みを禁止する場合 Content-Security …