Categorii
devirusare site

Anatomia unui atac Cross Site scripting – partea II

Pregatirea mediului de lucru

Pentru a face acest demo, trebuie să configurăm mai întâi mediul. Ca aplicație web vulnerabilă, vom instala OWASP Juice Shop versiunea 7.5 pe Heroku, iar pentru exemplificarea serverului web al atacatorului vom folosi Codeanywhere. Am ales aceste resurse deoarece ambele servicii sunt destul de simple in utilizare și nu necesită card de credit în procesul de înscriere.

Să începem prin a instala OWASP Juice Shop pe Heroku.

Heroku

Pe site-ul Heroku:

https://www.heroku.com/

apasa click pe SIGN UP FOR FREE button:

Mai departe, completam formularul de inscriere si apasam pe CREATE FREE ACCOUNT:

Dupa ce apasam butonul de creare a contului, urmatorul ecran va solicita sa ne confirmam adresa de email:

Mai departe, pentru a activa contul Heroku, trebuie sa accesam link-ul primit in email-ul de confirmare:

Urmatorul pas este de a ne seta parola, dupa care apasati click pe butonul SET PASSWORD AND LOGIN:

In final, apasa click pe butonul CLICK HERE TO PROCEED pentru a te loga in contul Heroku:

Am parcurs intreg procesul de deschidere a unui cont Heroku.

Urmatorul pas este instalarea OWASP Juice Shop version 7.5 in contul Heroku deschis mai sus.

OWASP Juice Shop

OWASP Juice Shop poate fi gasit aici: https://github.com/bkimminich/juice-shop/tree/276cb977.3a70a.3fa471c4.3be66c4de4c21024c1.3

Pentru a instala in contul Heroku, mergeti pe link-ul de mai sus si cautati in partea de jos butonul “Deploy to Heroku” pe care apasati click:

Dupa ce apasati pe buton, veti fi redirectionati pe site-ul Heroku. Apoi va trebui sa dati click pe butonul “Deploy app”:

Urmeaza procesul de building, dupa care veti avea acces la butonul “View”:

Dupa ce accesati butonul View veti putea vedea live aplicatia OWASP Juice Shop.

Daca veti avea nevoie sa opriti aplicatia, puteti accesa butonul “Manage App” si ulterior “Maintenance Mode” in pozitia On/Off.

Vom lasa Maintenance mode off, pentru a putea folosi aplicatia OWASP Juice Shop mai departe in demersul nostru.

Codeanywhere

Mai departe, vom instala codeanywhere.

Acesta poate fi gasit aici: https://codeanywhere.com/

Click pe butonul Signup si apoi pe Free Trial:

Urmeaza confirmarea adresei de email si verificarea acesteia. Dupa aceea vom accesa editorul urmand butonul CLICK TO GO STRAIGHT TO EDITOR.

Se va deschide un Wizard. Dintre optiunile posibile vom alege PHP on Ubuntu 16.04. Vom da acestui mediu un nume, si la final vom incheia procesul de instalare accesand CREATE Link.

La finalul acestui proces vom avea un server Apache up and running.

Astfel, am terminat instalarea celor trei componente necesare mediului de demo pentru Cross-site scripting.