Öncelikle OWASP checklist csv indiriyoruz. Bu en yaygın zaafiyetleri bir site üzerinde denememiz için bize bir checklist veriyor. Top 10 zafiyetlere göz atabilir, bunları deneyip basit bir web app pen test yapabiliriz. Daha sonra da olan owasp top 10 pdf versiyonunu indirebiliriz. Pdf versiyonunda zaafiyetler biraz daha derli toplu halde bulunur. Buradan da kolayca hangi zaafiyeti nasıl test edebileceğimizi görebiliriz.
Sonraki aşamada bu dersler için kullanacağımız ortamın kurulumuna geçiyoruz. Öncelikle Kali’ye docker kurmamız gerekiyor. Bu işlem için bu medium makalaesinden faydalanıyoruz. Komutlarımız ve işlemlerimiz şu şekilde olacak.
Docker kurulumunu tamamladıktan sonra OWASP Juice Shop yükleyeceğiz. Github linkinde anlatıldığı gibi docker yardımıyla pull edip yükleyip hazır hale getiriyoruz.
Burada bize bir diğer yardımcı olacak link ise gitbooks. Burasının yardımıyla Juice Shoptaki bütün zaafiyetleri bir eğitim ve test ortamı şeklinde değerlendirebiliriz. Zaafiyetlerin kısa açıklamaları örnek test yöntemleri vs buradan ulaşabiliriz ve öğrenebiliriz. Juice Shop challengeları vs hepsini buradan görebiliriz. Ayrıca Juice Shop herokuya da deploy edebiliriz ama buradaki zaafiyetler çok kısıtlı olacaktır. Makine hazır olduğunda juice shop localhost yardımıyla erişebiliriz. İlk bakacağımız yer ise localhost:3000/#/score-board olacak. Burada bütün challengelar, bunlarla ilgili ipuçları ve nasıl yapılacağına dair çözümler ve eğitimler bulunuyor. Bunları tamamlayıp bilgimizi ve pratiğimizi arttırabiliriz.
Son olarak firefox browsera foxy proxy kuruyoruz. Böylece isteidiğimiz zaman burp için proxy açıp kapatabiliriz kolay bir şekilde. Onun da değerleri HTTP, 127.0.0.1, 8080 olacak şekilde ayarlıyoruz. OWASP için test ortamımız hazırlanmış oluyor.