Eine absichtlich unsichere Javascript Webanwendung
«Der vertrauenswürdigste Webshop da draußen»(@dschadow)
https://www.owasp.org/index.php/OWASP_Juice_Shop_Project
Präsentation von Björn Kimminich / @bkimminich
"Juice Shop" ist eine wörtliche Übersetzung des deutschen Wortes "Saftladen", da der Beispielshop Saft verkauft (und nicht besonders nützlich ist).
Die Übereinstimmung der Initialen "JS" mit denen von "Javascript" ist rein zufällig!
OWASP Juice Shop ist die erste, im OWASP VWA Directory gelistete Anwendung, die vollständig in Javascript geschrieben ist.
Es scheint auch die erste verwundbare Anwendung zu sein, die die momentan populäre Architektur eines SPA/RIA Frontends mit einem RESTful Backend implementiert.
Javascript von der UI bis zur REST API
Maximierung der Testautomation & Code Coverage
Automatisierte Continuous Integration & Demo Deployment
Ausführbar in der Cloud, lokal und als Container
Vollständige Übersetzung der UI in 15 Sprachen
Abdeckung verschiedenster Verwundbarkeiten und schwerer Designfehler
OWASP Juice Shop deckt alle Verwundbarkeiten der aktuellen OWASP Top 10 und einige mehr ab.
Enthält einfache Schnäppchen und harte Nüsse
Einige Herausforderungen lassen sich tatsächlich so lösen
Die meisten Herausforderungen lassen sich einfacher mit etwas Forschungsarbeit lösen
Die schwersten Herausforderungen erfordern mehrere Vorbereitungsschritte
Der Fortschritt beim Lösen der Herausforderungen wird auf Serverseite festgehalten
Gelöste Herausforderungen werden als Push-Notifications verkündet
Der eigene Fortschritt kann bequem gespeichert und wiederhergestellt werden
Verwenden sie juice-shop-ctf-cli
um einen Event auf CTFd zu organisieren.
Wenn FAQ & README nicht weiterhelfen, frag im Chat oder öffne ein Ticket
Ja, absolut! Verwende die Werkzeuge, die du am besten magst!
Proxies wie ZAP oder Burp können nützlich sein, aber die meisten automatischen Scanner werden nicht viel helfen.
Nein! Der Code der Anwendung würde alle Lösungen verraten!
Nein! Die Ausgabe auf der Konsole würde einige Lösungen verraten!
Ja! Fühl dich frei überall nach Idden & Tips zu suchen, ...
...ausser im GitHub repository und den logs der Travis-CI build jobs!
Bitte folge sorgfältig den Anweisungen im README
Wenn die Setup & Troubleshooting Dokumentation nicht hilft, kannst du versuchen Hilfe im Chat zu finden oder ein Ticket öffnen.
Die Anwendung wird bei jedem Start auf den Ausgangszustand zurückgesetzt
Der Fortschritt im Scoreboard wird ebenfalls zurückgesetzt! Sichere deine Fortschritte regelmäßig!
Hilfreiche Hinweise finden sich im offiziellen JuiceShop Kompendium eBook
Alternativ kann man nach Tips im community Chat fragen.
Bitte melde nicht-getrackte Verwundbarkeiten als Ticket
Natürlich kannst du auch direkt beitragen, indem du einen Pull Request öffnest. Bitte brich keine Tests.
Gut, dass du fragst! Du kannst helfen, indem du neue Features oder Bugfixes implementierst*. Du kannst auch helfen, die Anwendung in weitere Sprachen zu übersetzen!
*Besonders diejenigen, die mit "help wanted
" markiert sind!
Für den ersten akzeptierten Pull Request erhälst du einige offizielle Juice Shop Aufkleber umsonst!
Für Mitglieder des Kernteams gibt es sogar T-Shirts, Becher und andere großartige Artikel!
Wann? Wenn es fertig ist!
Offizielle Seite | https://www.owasp.org/index.php/OWASP_Juice_Shop_Project |
Sourcecode | https://github.com/bkimminich/juice-shop |
Web Application Security in a Nutshell | http://webappsec-nutshell.kimminich.de |
Web Application Security Introduction | http://slideshare.net/BjrnKimminich/web-application-security-introduction |
Web Application Security Training Workshop | http://slideshare.net/BjrnKimminich/web-application-security-21684264 |
Licensed under the MIT license.
Created with reveal.js - The HTML Presentation Framework