ロード・オブ・ザ・ホワイトハッカー

ホワイトハッカーはじめました

Burp Suite Community Editionの初手

Burp in the middle

Burp Suiteをセットアップして、脆弱性のあるWebサイト=やられサイト、を準備してみたいと思います。

 

Burp Suiteセットアップ

以下の3ステップで完了。

  1. Burp Suiteをインストールして。
  2. ブラウザのアドオン「FoxyProxy」を設定して、プロキシ設定を簡単に。
  3. Burp Suite証明書のインポートで、警告表示もなくなる。

こちらのサイトを参考にさせて頂きました。

www.leon-tec.co.jp

 

やられサイトの準備

いろいろとあるようですが、OWASP BWA(Broken Web Applications Project)が古典的な位置づけなのでしょうか。2015年が最終リリースで、OVA形式で配布されている。

owasp.org

 

OWASP BWA(Broken Web Applications Project)の起動画面。

f:id:chikuwamaruX:20210904084915p:plain

 

各アプリケーション毎に、設問が設定されて、それをクリアしていくイメージ。正解はどこにあるのだろうか??

f:id:chikuwamaruX:20210904085733p:plain

 

こちらのBurp Suiteの公式ページでは、WebGoatという、やられサイトとBurpの具体的な使い方の情報がある。

これは、OWASP BWAに含まれるWebGoatアプリケーションのことらしい。

portswigger.net

 

OWASP BWAに含まれていたWebGoatは、別のプロジェクトに切り出されて、jarファイル単体かDockerでの提供。jarファイルでエラーになったので、Dockerで動かすことに。

owasp.org

 

Dockerコマンドを叩けば、すぐにアクセスできる。

docker pull webgoat/goatandwolf:latest

docker run -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 -e TZ=Aisa/Tokyo webgoat/goatandwolf

 

こちらは今風の画面になっており、プロジェクト自体も継続されているようです。

f:id:chikuwamaruX:20210904092136p:plain

これで、Burp Suite Community Editionが使えて、やられサイトに対して、利用できる準備が整いました。

 

無償のCommunity Editionでどこまでできるのか、有料版の無料お試しをしながら見極めいていきたい。

 

つ・づ・く