[목차]
1. Owasp 소개
2. Owasp TOP 10 소개
3. Owasp Juice Shop 소개
4. Juice Shop 서버 구축
5. 참고 사항
1. OWASP 소개
OWASP란 [Open Web Application Security Project]의 약자로
2001년 12월에 창립된 오픈소스 온라인 보안 단체이다.
주로 웹에 관한 보안 취약점 등을 연구하며 발표하는데
이곳에서 진행하는 프로젝트 중 가장 유명한 것이 [OWASP Top 10]이다.
OWASP TPO 10은 웹 어플리케이션 취약점 중 발생 빈도가 매우 높으며
보안상 크게 영향을 줄 수 있는 보안 고 위험군 상위 10개 항목을 선정하여
발표하는 보고서이다.
현재까지 총 4 회,
2004년, 2007년, 2010년, 그리고 2017년을 기준으로 발표되었다.
2. OWASP TOP 10 소개
* OWASP TOP 10(2017년 발표 기준)에 선정된 취약점들은 다음과 같다.
A1. Injection : 인젝션
A2. Broken Authentication : 인증 취약점
A3. Sensitive Data Exposure : 민감한 데이터 노출
A4. XML External Entities (XXE) : XML 외부 개체
A5. Broken Access Control : 취약한 접근 통제
A6. Security Misconfiguration : 잘못된 보안 구성
A7. Cross-Site Scripting (Xss) : 크로스사이트 스크립팅
A8. Insecure Deserialization : 안전하지 않은 역 직렬화
A9. Using Components with Known Vulnerabilities : 알려진 취약점이 있는 구성요소 사용
A10. Insufficient Logging & Monitoring : 불충분한 로깅과 모니터링
* 참고 문서
1. OWASP TOP 10 원본 보고서
2. OWASP TOP 10 한글 번역본 보고서
3. 주요정보통신기반시설 기술적 취약점 분석/평가 방법
3. OWASP [Juice Shop] 소개
OWASP Juice Shop(주스샵)이란
OWASP가 만든 주요 웹 취약점을 테스트할 수 있는 실습용 서버이다.
2010년 이후 PHP 기반의 웹 어플리케이션이 많이 줄어들고 JavaScript와
관련 프레임워크들로 제작된 웹 앱이 주를 이루기 시작했는데
주스샵은 이러한 변화를 수용하여
NodeJS, Express, Angular 등을 이용해 만들어졌다.
OWASP TOP 10의 모든 취약점들이 들어가 있어
모의 해킹을 공부하고 실습하기에 더없이 좋은 환경이다.
4. Juice Shop 환경 구축
* 설치 서버 : Kali Linux (5.9.0-kali2-amd64)
1) Docker 설치
ㄱ. 패키지 툴 업데이트 및 docker.io 설치
# apt-get update
# apt install –y docker.io
ㄴ. 필수 패키지들 설치
# apt-get install apt-transport-https ca-certificates curl gnupg-agent \
software-properties-common
ㄷ. Docker 패키지를 받기 위해 GPG 키 등록
# curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -
[참고]
Debian 11 / Ubuntu 22.04버전 이후로 apt-key가 더 이상 사용되지 않고
앞으로 사라질 것이기에 위 명령어 입력 시 아래와 같은 경고 메시지를 받는다.
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead
(see apt-key(8))
‘때문에 키를 다이렉트로 [/etc/apt/trusted.gpg.d]에 넣을 것이 추천되고
제3자를 위한 GPG Keys는 [/usr/share/keyrings]에 반드시 넣어야 하며
이것은 [source.list.d] 항목의 [sign-by] 옵션으로 참조된다’라고 함
ㄹ. Docker의 apt repository 생성
# echo "deb [arch=amd64] \
https://download.docker.com/linux/debian/ buster stable" | \
tee /etc/apt/sources.list.d/docker-ce.list
ㅁ. 패키지 툴 업데이트
# apt-get update
ㅂ. Docker 설치
# apt-get install docker-ce docker-ce-cli containerd.io
ㅅ. Docker 기동 및 확인
# systemctl start docker
# systemctl status docker
2) 주스샵 설치
ㄱ. OWASP 주스샵 docker 이미지 파일 다운
# docker pull bkimminich/juice-shop
ㄴ. 주스샵 컨테이너 만들어 실행
# docker run --rm -p 3000:3000 bkimminich/juice-shop
ㄷ. 주스샵 테스트 접속 및 환경 설정
# firefox http://localhost:3000
설치 완료
5. 참고 사항
2021년 2월 2일 (화) 기준
칼리 리눅스에 도커 설치할 때
GPG 키 등록이랑 repository 구성 관련해
우여곡절이 많았는데 최종적으로 찾은 방법이
위에 기재한 것이다.
혹
위 방법으로 설치가 안될 경우
댓글을 남겨 주세요.
함께 방법을 찾아보겠습니다.
'WEB 진단 > WEB 진단' 카테고리의 다른 글
| 웹 모의해킹 실습 서버 [DVWA] 소개 및 설치 방법 (0) | 2021.02.10 |
|---|---|
| 웹 모의해킹 실습 서버 [DVWA] 소개 및 설치 방법 (0) | 2021.02.10 |
| 웹 모의해킹 실습 서버 [XVWA] 소개 및 설치 방법 (0) | 2021.02.01 |
| 웹 모의해킹 실습 서버 [Webgoat] 소개 및 설치 방법 (0) | 2021.02.01 |
| 웹 해킹과 모의해킹 (0) | 2021.01.24 |