OWASP Juice Shop：专用于安全技能训练的OWASP靶场（含演示视频）

今天给大家介绍的是OWASP Juice Shop，这是一款包含多种热门安全漏洞的Web应用程序，该应用完全基于JavaScript实现，它涵盖了OWASP Top10中的所有安全漏洞以及很多其他类型的严重漏洞。

项目下载

【GitHub】

【官方主页】

工具介绍

OWASP Juice Shop采用Node.js、Express和AngularJS开发，而它也是OWASPVWA目录s中第一个完全采用JavaScript开发的应用程序。

OWASP Juice Shop包含了47种以上不同难度的黑客挑战关卡，用户需要想办法利用底层漏洞才可顺利完成挑战。入侵过程会在计分板上进行实时记录，而寻找计分板也同样是一个挑战（难度不大）。

注意，本项目的缩写“JS”（Juice Shop）与“JavaScript”（JS）的缩写雷同，这纯属巧合！

OWASP Juice Shop的优势

1.      安装简单：可选择node.js、Docker或Vagrant在Windows/Mac/Linux平台上运行；

2.      独立运行：依赖组件已预先封装好，额外组件可自动下载安装；

3.      自我恢复：SQLite数据库弱被擦除，可在服务器每次启动时自动恢复；

4.      游戏性：当你通过了一个挑战关卡之后，程序会通知用户，并在计分板上对用户的成功攻击进行记录；

5.      CTF支持：挑战关卡允许自定义Flag代码；

6.      品牌自定义：允许用户对应用进行品牌修改以支持商务应用；

7.      免费&开源：该项目遵循MIT开源许可证协议；

应用程序架构

介绍视频

下面这个视频会对OWASP Juice Shop进行简单的介绍，并给大家演示如何对其进行“攻击”。

视频地址：https://youtu.be/62Mj0ZgZvXc

工具安装

1.      安装node.js

2.      运行命令（或手动克隆项目）：

git clone https://github.com/bkimminich/juice-shop.git

3．使用下列命令进入项目目录：

cd juice-shop

4.      运行下列命令：

npm install
npm start

5.      在浏览器中访问http://localhost:3000

如需了解其他安装方法，请访问该项目的GitHub主页。

自定义

用户可通过/config中的YAML配置文件来对OWASP Juice Shop的内容进行自定义修改。具体的自定义教程请参考我们给出的演示样例【传送门】。

CTF扩展

如果你想要以CTF夺旗赛的形式来运行OWASP Juice Shop，我们建议你使用官方提供的juice-shop-ctf-cli工具来搭建一台CTFd服务器。具体的配置方法请参考官方教程中的CTF相关章节。

官方教程

该项目给广大用户提供了一份官方教程，用户可以根据教程一步一步完成关卡的挑战。

LeanPub（支持PDF、Kindle和ePub格式）：【下载地址】

GitBook（免费，还在开发中，支持HTML、PDF、Kindle和ePub格式）：【下载地址】

文章出处：FreeBuf