１−２．OWASP Juice Shopの起動

おはようございます。
こちらは、脆弱性診断スターターキットにある目標管理シートの中目標「１−２．OWASP Juice Shopを起動できている状態」を達成するための手順を書いた記事です。

👉 脆弱性スターターキットはこちら
👉 脆弱性スターターキットにまつわる記事を集めたマガジンはこちら

今回のスターターキットでは、OWASP(※1)が無償提供してるJuice Shopというやられサーバー(※2)を利用します。

(※1) OWASP
ソフトウェアやWebアプリケーションにおけるセキュリティ分野の研究、ガイドラインの作成、脆弱性診断ツールの開発、イベント開催など多岐にわたる活動をしているオープンソース・ソフトウェアコミュニティのこと。OWASPは、”Open Web Application Security Project”の略称で「オワスプ」と読みます。

(※2) やられサーバー
脆弱性診断トレーニング用に脆弱性が作り込まれたサーバーのこと。

Dockerのインストール

まずはDockerをインストールしてください。

👉 Mac版のインストールはこちら
👉 Windows版のインストールはこちら

Juice Shopの起動

Dockerを起動し、下記コマンドを実行してください。

$ docker pull bkimminich/juice-shop
$ docker run --rm -p 3000:3000 bkimminich/juice-shop

…

info: Server listening on port 3000
// ↑これが出たら正常にサーバーが起動できています。

BurpSuiteでJuice Shopを診断するための準備

1. BurpSuiteを起動する

2. firefoxを起動し、FoxyProxyのBurpの設定を有効にする

3. localhost:3000にfirefoxでアクセスする

4. BurpSuiteのHTTP Historyでリクエストが記録されていることを確認する

ここまで読んだ皆さまは、目標管理シートの中目標１−２が完了になったはずです！（つまずいてしまったら、コメントくださいませ）
１−３に進んでみましょう。