Вхід і реєстрація
Навчання · 27 лютого, 18:00 1610
Pavlo Trepytion, Technical Community Manager в DOU.ua

Корисний ресурс тижня: OWASP Juice Shop

💡 Усі статті, обговорення, новини про тестування — в одному місці. Приєднуйтесь до QA спільноти!

DOU запускає нову освітню рубрику: раз на тиждень ділимось ресурсами, які можуть прискорити розвиток у професії і дати реальну практику. Ви можете стати частиною процесу: надсилайте нам рекомендації, який саме ресурс виявився для вас корисним. Тож поділіться такими ресурсами зі спільнотою — запропонуйте через гугл-форму, або ж надішліть топік з поміткою «Ресурс тижня» самостійно чи пишіть Каті :)

А тепер — до рекомендації цього тижня!

OWASP Juice Shop

До навчання

Часто головна проблема розробників та тестувальників у вивченні кібербезпеки — це нестача безпечного середовища для практики. Теорія — це добре, але щоб навчитися захищати застосунки, треба вміти їх ламати. Проте легально похакати реальні проєкти вам ніхто не дасть.

OWASP Juice Shop — це досить сучасний і складніший навмисно вразливий вебзастосунок. Це повноцінний інтернет-магазин з продажу соків, який спеціально нашпигований десятками дірок у безпеці для вашого тренування.

Як це працює

Це не звичайний курс чи набір відео. Це робочий застосунок, написаний на сучасному стеку з Node.js, Express та Angular. Ваше завдання — знайти та проексплуатувати в ньому вразливості, від найпростіших до критичних (увесь спектр OWASP Top 10 і навіть більше).

Головна фішка — гейміфікація та прихована дошка досягнень. Виконання кожного завдання фіксується системою. Рівень складності зростає від очевидних багів з 1-ою зіркою до хардкорних вразливостей з 6-ма зірками. Як тільки ви успішно проводите атаку (наприклад, SQL-ін’єкцію чи XSS), система вітає вас спливаючим повідомленням і зараховує бали.

Для кого підійде

Цей ресурс потрібен усім, хто хоче на практиці зрозуміти, як працюють веб-вразливості. Ідеально підійде, якщо ви:

  • Розробник, який хоче на власні очі побачити, як дрібна недбалість у коді чи неправильне налаштування CORS перетворюється на критичну діру в безпеці.
  • QA-інженер, що планує розширити компетенції у бік Security Testing і навчитися перевіряти систему на базові вразливості до того, як її перевірять хакери.
  • Джун в Cybersecurity, який шукає ідеальну та легальну «пісочницю» для перших практичних кроків у пентесті.

Не підійде, якщо:

  • Ви шукаєте класичні лекції. Juice Shop не буде водити вас за руку. Вам доведеться самостійно гуглити вектори атак, або паралельно читати безкоштовну книгу-супутник «Pwning OWASP Juice Shop».

Чим корисно

Це файний інструмент для тренування хакерського мислення. Оскільки проєкт використовує сучасний стек, ви будете шукати вразливості в тій самій архітектурі, з якою стикаєтесь на роботі щодня. А система зірочок і досягнень робить процес навчання неймовірно азартним. Зупинитися буде дуже важко :)

Ціна питання

Повністю безкоштовно. Це Open Source проєкт від фундації OWASP. Ви можете легко розгорнути його локально за допомогою Docker, Node.js або знайти вже готові публічні інстанси онлайн.

А ви тестуєте свої чи робочі проєкти на базові вразливості?

Теми: Junior, QA, Security, SQL, XSS, корисне, навчання, Ресурс тижня, тестування
👍ПодобаєтьсяСподобалось5
До обраногоВ обраному2
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Підписатись на коментарі

Не підписуватись
Скористайтесь акаунтом
×
з умовами використання сайту і політикою конфіденційності.