Why Choose Edgenexus?

TRY

Azure Test Drive

Free Trial

PRODUCTS

Load Balancer

Global Server Load Balancing

Web Application Firewall

EADP – EDGENEXUS APPLICATION DELIVERY PLATFORM

SOLUTIONS

Containerisation

DevOps

IoT

NFV

SDN

Security

APPLICATIONS

Load Balance Always on VPN

Direct Access

TMG Replacement

Exchange

Lync

Skype for Business

Sharepoint

Remote Desktop Services

Oracle E-Business Suite

RESOURCES

READ:

Compare Load Balancers

Compare to Azure Load Balancer

Compare F5 and Edgenexus Load Balancer 

Case Studies

Data Sheets

Blog

FAQs

WATCH:

Tutorials

Webinars

SUPPORT

Contact us

User Guides

Damn Vulnerable ウェブアプリのテストドライブ

試乗記
dvwa
無料トライアル
コンタクト
サポート

何ですか?

テストドライブへようこそ - このドキュメントは、AzureでのDamn Vulnerable Web App (DVWA)テストドライブを最大限に活用するために必要な情報を提供します。

  • DVWAはPHP/MySQLのWebアプリケーションで、その主な目的は、セキュリティの専門家が自分のスキルやツールを法的な環境でテストするための支援となることです。 私たちは、DVWAの導入をできるだけ簡単にするために、ロードバランサーであるedgeNEXUS ALB-Xに簡単に適用できる機能アドオンを構築しました。
looxy logo

Looxy.ioは、弊社が推奨する外部テストツールです。 様々なSecurity(その他のテスト)を実行することができます。 何より無料なのが嬉しい!looxy.io

その仕組みは?

ALB-Xは、コンテナ化されたアプリケーションを実行する機能を持ち、直接またはロードバランサーのプロキシを使って結合することができます。 この画像にはすでに1つのアドオンが展開されていますが、Appstore theにアクセスして、さらに展開することができます。

接続性の概要

Azureクラウドに配置された仮想マシンは、標準的なデータセンター環境に配置されたものと同じように、プライベートな内部IPアドレス(NATされたIP)を使用します。

  • パブリックインターネット経由でリソースにアクセスするために、割り当てられたパブリックIPアドレスから仮想マシンのプライベートIPアドレスへのNAT機能が実行されます。 アプライアンスには1つのIPアドレスが割り当てられ、異なるリソースへのアクセスには異なるポートが使用されます。 下の図は、それぞれの機能がどのように通信しているかを示しています。 DVWA Online, Damn Vulnerable Web Application.
dvwa Connectivity

Dockerのホスト名/IPアドレスとIPサービスの接続性

ALB-X上に配置されたアドオン・アプリケーションは、内部のdocker0ネットワーク・インターフェースを介してALB-Xと通信します。 内部のdocker0プールから自動的にIPアドレスが割り当てられます。

Add-Onアプリケーションの各インスタンスのホスト名は、アプリケーションを起動する前にALB-XのGUIで設定します。 ALB-Xはこの内部ホスト名を使って、アプリケーションのdocker0のIPアドレスを解決することができます。 アプリケーションコンテナのアドレスを指定する際には、常にホスト名を使用してください。

  • ALB-XにはAzure eth0のプライベートIPアドレスを使用したIPサービスを設定し、アドオンアプリケーションへの外部からのアクセスを可能にしています。 これにより、ALB-Xのリバースプロキシ機能を利用して、必要に応じてSSLオフロードやポート変換を行うことができます。 これが全てのオープンポートですね。ALB-X GUIマネージメント:27376 DVWA:80

テストドライブGUIへのアクセス

テストドライブをリクエストすると、DVWAテストアプライアンスの新しいインスタンスがAzureに作成されます。

  • 起動すると、ALB-XプラットフォームのWeb GUIにアクセスするためのインターネットホスト名と、固有のユーザー名とパスワードの組み合わせが通知されます。
Test drive DVWS

このため、Chromeブラウザの使用を推奨します。 サーバーへのアクセス

https://host name:27376

  • 管理アクセスにはローカルのSSL証明書を使用しているため、ブラウザでセキュリティ警告を受け入れるように促されます。 ログインすると、「IPサービスの事前設定」画面が表示されます。
DVWS VIP

ALB-Xの追加機能

左メニューの「Library」をクリックし、「Add-Ons」を選択します。 ここでは、ALB-Xプラットフォームに導入されたDVWAアドオンをご覧いただけます。

コンテナ名またはホスト名としてdvwa1が設定されており、アプリケーションの起動時に割り当てられた172.x.x.xのdocker0のダイナミックIPアドレスが確認できます。

  • なお、Azure環境では、アドオンのGUIアクセスボタンは使用されません。 また、ALB-Xの他のGUIインターフェイスをクリックしてお楽しみください。

脆弱なウェブアプリケーション

DVWAの機能に興味をお持ちのようですので、DVWAのGUIをご覧になってみてはいかがでしょうか。 IPサービスのネーミングからもわかるように、DVWAは80番ポートで動作しています。

  • ブラウザにテストドライブのアドレスを入力すると、DVWA Setupページが表示されます。
DVWA DatabaseSetup

Create / Reset Database」をクリックします。

DVWS Create/Reset Database
  • DVWAにデフォルトのクレデンシャルadmin / passwordでログインします。
DVWA login
  • これで、DVWA に admin としてログインできます。
DVWA welcome page

DVWAのデフォルトのセキュリティレベルは "Impossible "であるため、脆弱性は発生しません。

  • DVWAセキュリティメニューをクリックして、ドロップダウンから「低」を選択し、送信をクリックしてレベルを低に設定してください。 DVWAは、脆弱性テストのターゲットとして使用するための準備が整っています。

コマンド・インジェクション

DVWAの脆弱性の一つを利用してみます。 DVWAには、任意のIPアドレスにpingできるページがあることがわかります。 DVWAがセキュリティモード「低」で入力パラメータの検証を行うかどうかを確認します。 IPアドレス入力欄に「127.0.0.1; cat /etc/passwd」と入力してください。

これで、任意のコマンドを注入して、OSに登録されているユーザーのリストを取得することに成功しました。

  • DVWAの使用については、ウェブアプリケーションセキュリティのスキルアップに役立つオンラインリソースが多数あります。 また、お客様のWAF導入のお手伝いをさせていただきたいと思います。 お問い合わせは pre-sales@edgenexus.io まで。
dvwa logo

DVWA(Damn Vulnerable Web App)とは?

WAFや攻撃ツールのテストに使用できる設定可能なターゲットウェブサーバー

テストドライブ →

zap

Webアプリケーション攻撃ツール「ZAP

Web Application Attack Toolは、OWASP ZAPをベースにした脆弱性スキャナです。

テストドライブ →

ぜひともご一報ください

  • 私たちは知識が豊富でフレンドリーだと言われますが、それを判断するのはあなたです。

お問い合わせ

0808 1645876

(866) 376-0175

support@edgenexus.io

無料トライアルをご利用ください。

ハードウェア、ソフトウェア、あるいはお客様自身のオンライン・イメージと完全なテスト環境を提供します。
必要なものをお知らせください こちら

お問い合わせ

今すぐ試す

サポート

製品情報

ソリューション

アプリケーション

リソース

パートナーズ

APP STORE

Copyright © 2021 Edgenexus Limited.