TOUCH THE SECURITY Powered by Security Service G
WEB脆弱性診断の現場で使用頻度の高いツールであり、本サイトでも度々取り上げている「Burp Suite」。機能面の紹介は引き続き別記事で連載中ですが、本稿ではBurp Suiteを使って脆弱性診断を疑似的に体験・学習する為の”やられアプリ”の導入や、実際の学習記録などを追って連載してみます。
目次
1.はじめに ~今回やること、注意事項など~
当たり前のことですが、Web診断を実践してみよう!といって、いきなり一般のサイトに向けて不正なパケットを送る事は不正アクセス禁止法(通称「不正アクセス禁止法」)という法律により罰則が科せられ、最悪の場合逮捕される事もある為、注意が必要である。
なので、まずはWeb診断を実施する為に、自分の管理下にあるサイトを作成する事から始めることになります。しかし、イチからサイトを作成するとなると時間もかかりそうだし大変だと思うのが多数かと思います。
よって今回は、「VMware Workstation Player」を使って仮想環境を作り、その上に仮想のWebサーバを立てて診断を実施してみる事にしました。やられサイトには「BadStore」という環境を使ってみます。どちらも無償で手に入ります。
2.環境作成 ~まずはやられアプリを導入~
やることは大きくは二点。先ずは仮想環境のVMware Workstation Playerを自身のPCにインストール。そしてVMware Workstation Player上に、BadStoreのlinuxサーバイメージ(※)をロードします。
※BadStoreは、アプリやDBといった単位での提供ではなく、それらが起動するサーバの”イメージ”として提供されています。
2-1.Vmware Workstation Playerのインストール
①VMwareのサイトにアクセスし、ダウンロードメニューから対象ファイルをダウンロードします。
②ダウンロードしたファイルをクリックしてインストール作業をします。今回はデフォルト設定のままで進めていき完了させていきます。
2-2.やられアプリ”Badstore“の導入
①BadStoreの配布サイト(※)より、サーバイメージをダウンロード。任意の場所へ保存します。
https://www.vulnhub.com/entry/badstore-123,41/
※BadStoreのメンテナンスは既に終了、正規配布元「http://www.badstore.net/」は停止しています。よってトレーニング用の資料共有を行うサイト「Vulnhub」のアーカイブを紹介させて頂きました。
②VMware Workstation Playerを起動
③新規仮想マシンの作成をクリック。新規作成ウィザードから、インストーラディスクイメージファイルにダウンロードしたBadStoreのisoを指定して、ウィザードを順番に進めいていきます。
④「仮想マシンの再生」を押下。いよいよBadStoreの仮想マシンを起動します。
⑤起動を確認したら、ターミナルで仮想サーバへログイン。IfconfigコマンドでIPを確認します。
⑥確認したIPとFQDN「www.badstore.net」を関連付ける為、端末のhosts(C:¥Windows¥System32¥drivers¥etc¥hosts)に以下を書き込む。
192.168.47.128 www.badstore.net
⑦ブラウザで「http://www.badstore.net」へアクセスします。
以上、診断用の環境作りが完了しました。このサイトへのリクエストであれば、不正なパケットを送信しても問題ありません。
3.おわりに
この環境作りは30分もあれば完了できるので、非常に簡単でした。
次回は、実際にBurpSuiteを使用して、実際のリクエスト、レスポンスのログを見ながら検査文字列を送信してみようと思います。練習用のやられサイトなので、どんな脆弱性が潜んでいるのか気になるところです。
