Burp in the middle

Burp Suiteをセットアップして、脆弱性のあるWebサイト＝やられサイト、を準備してみたいと思います。

Burp Suiteセットアップ

以下の3ステップで完了。

1. Burp Suiteをインストールして。
2. ブラウザのアドオン「FoxyProxy」を設定して、プロキシ設定を簡単に。
3. Burp Suite証明書のインポートで、警告表示もなくなる。

こちらのサイトを参考にさせて頂きました。

www.leon-tec.co.jp

やられサイトの準備

いろいろとあるようですが、OWASP BWA(Broken Web Applications Project)が古典的な位置づけなのでしょうか。2015年が最終リリースで、OVA形式で配布されている。

owasp.org

OWASP BWA(Broken Web Applications Project)の起動画面。

各アプリケーション毎に、設問が設定されて、それをクリアしていくイメージ。正解はどこにあるのだろうか？？

こちらのBurp Suiteの公式ページでは、WebGoatという、やられサイトとBurpの具体的な使い方の情報がある。

これは、OWASP BWAに含まれるWebGoatアプリケーションのことらしい。

portswigger.net

OWASP BWAに含まれていたWebGoatは、別のプロジェクトに切り出されて、jarファイル単体かDockerでの提供。jarファイルでエラーになったので、Dockerで動かすことに。

owasp.org

Dockerコマンドを叩けば、すぐにアクセスできる。

docker pull webgoat/goatandwolf:latest

docker run -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 -e TZ=Aisa/Tokyo webgoat/goatandwolf

こちらは今風の画面になっており、プロジェクト自体も継続されているようです。

これで、Burp Suite Community Editionが使えて、やられサイトに対して、利用できる準備が整いました。

無償のCommunity Editionでどこまでできるのか、有料版の無料お試しをしながら見極めいていきたい。

つ・づ・く