セキュリティリテラシーが高まる中、組織としてもエンジニアであれば個人としても、技術レベルは上げていきたいですよね。

そんなエンジニアにとって最初に立ちはだかる壁が、「環境」づくりでは？ 昨今ではいろんなプラットフォームが誕生したことで、環境づくりがサクッと終わるようになりましたね。今回はそんなサクッとできてしまう、検証サイトの立ち上げ方を紹介していきます！

DockerとはLinuxコンテナを使った軽量かつ、簡単に作れてしまうアプリケーション実行環境です。今回はこの技術を使って、検証サイト（やられサイト）をローカル環境に立てて、攻撃が練習できるところまでを構築していきます。
今回使う検証サイトはOWASPが出している「Web Goat」になります。
https://owasp.org/www-project-webgoat/

全体的な流れ

1. Dockerをインストール
2. Dockerを起動
3. 検証サイトのイメージファイルを取得　　　　　　　　　　　　　　　　　
4. 実行

以上で検証サイトが立ち上がります！

作業時間

約30分

環境

Windows 10 Pro or Home（バージョン 2004、ビルド 19041以上）
Mac（2010年以降のモデル)
UbuntuやCentOSでも可能ですが、今回はWindowsを中心に紹介していきます！

Windowsのバージョンが要求を満たしていない場合は、こちら から更新してください。
※時間かかります。コーヒータイムを挟むことをおすすめします笑

インストールするソフト

■Docker for Windows
https://hub.docker.com/editions/community/docker-ce-desktop-windows/

Windows以外の方は「Docker Mac インストール」などで検索してください・・！

以前までは、Docker for WindowsはWindows Proでしか使えませんでしたが、最近のWindowsアップデート(バージョン 2004、ビルド 19041以上)で、WSL2という機能が使えるようになったことで、Windows Homeでも実行できるようになりました！めっちゃいいですね～

手順

まずはDockerのインストールに際してですが、事前にDockerのアカウントを作成、その後インストールしましょう。最初にチュートリアルがあるので、触れてみてください。

これでDockerはインストールできたと思います
次に検証サイト「Web Goat」を入れていきましょう。

コマンドプロンプト、またはWindows Terminalを開いて、
docker pull webgoat/webgoat-8.0 と打ってください。

Web Goatのイメージがダウンロードされます。
次に、ダウンロードしたイメージをコンテナにし、実行します。

docker run -p 8080:8080 -t webgoat/webgoat-8.0

すでに8080ポートを使用してる場合は、「docker run -p 8082:8080 -t webgoat/webgoat-8.0」 のように変更して下さい。起動が完了したら「https://siv2.werte.jp/WebGoat/login」で開けます。

アカウントを作成して、ログインしてください。
これで検証サイトの立ち上げは完了です。
サクッと終わりますよね？

A1からSQLインジェクションなどの攻撃を試すことができます。
解答はこちらに載っているので、いろんな手法を身に着けてみてください。

弊社ではこのようなツールを活用して、日々技術検証を行い、スキルを磨いております。
脆弱性は日々出てくるもの。自分の使っているツールや、作成したサイトがセキュアな状態を保っているか、意識しておくことが肝要です。少しでも知識としてつけていただければ幸いです。

ハッピーハッキング！