Bertahun-tahun yang lalu, ketika saya pertama kali harus melatih para profesional muda dalam bekerja dengan Active Directory, saya sedih menghitung kekuatan komputasi seperti apa yang saya perlukan dari pusat pelatihan. Itu adalah waktu yang jauh ketika virtualisasi baru saja mulai menaklukkan TI. Saya menempatkan persyaratan untuk pekerjaan, pengontrol domain, server aplikasi dalam kolom, dan angka-angka tidak menyenangkan saya sama sekali. Mereka tidak menyenangkan administrator pusat pelatihan.
Sejak itu, sejumlah besar kursus telah dibaca, tetapi masalah sumber daya belum hilang di mana pun, sementara mamalia biru besar penuh dengan kontainer menjulang di cakrawala.
Tentu saja, saya pikir semua orang mencari Google βContainer vs VMβ dan mendapatkan sesuatu seperti itu.
Itu tidak menjelaskan banyak, tetapi esensi umum jelas: alih-alih sejumlah besar sistem operasi dan aplikasi pada mereka, kami meluncurkan satu sistem operasi, dan aplikasi yang diperlukan mulai di dalamnya. Pendekatan ini memiliki pro dan kontra, tetapi hari ini kita akan berbicara tentang bagaimana wadah dapat membantu pelatihan pentester dan auditor.
Hal paling sederhana yang bisa dilakukan adalah menggunakan wadah untuk menciptakan lingkungan kerja yang rentan disengaja. Sekarang, alih-alih menggunakan versi apache, mysql dan hal-hal lain yang diperlukan, kita bisa mendapatkan wadah siap pakai dengan semua yang Anda butuhkan. Mari kita mulai, tentu saja, dengan klasik:
β’ Aplikasi web DVWA paling populer dan paling rentan. Aplikasi php / mysql klasik dengan XSS, CSRF, LFI favorit Anda, dan lainnya. Agak ketinggalan jaman, tetapi terus ditemukan di setiap detik terpanjang:
Damn Vulnerable Web Application (DVWA) (buruh pelabuhan menarik citizenstig / dvwa)β’ Aplikasi lain yang populer di mana kerentanan disusun berdasarkan OWASP TOP10:
OWASP Mutillidae II Aplikasi Pen-Test Praktik Web (buruh pelabuhan tarik citizenstig / nowasp)β’ toko jus OWASP, dibuat atas dasar sudut populer, node.js, nosql, tetapi tidak kalah rentan terhadap ini. Pilihan saya bagi siapa saja yang terjun ke dunia pengujian penetrasi yang berani:
OWASP Juice Shop (buruh pelabuhan tarik bkimminich / toko jus).β’ OWASP TOP10 yang sama, hanya berdasarkan pada Node.js:
OWASP NodeGoat ( builder -compose build && & docker-up)β’ Aplikasi lain dari OWASP dengan set kerentanan yang sama:
OWASP WebGoat Project 8.0 gambar buruh pelabuhan (buruh pelabuhan tarik webgoat / webgoat-8.0)β’ Begitu ada kambing, harus ada gembala. Dalam kasus kami, ini adalah OWASP Security Shepherd, yang memungkinkan Anda untuk melihat sisi klien dari aplikasi web, serta aplikasi seluler:
OWASP Security Shepherd (docker pull ismisepaul / securityshepherd)Secara berkala, ketika kerentanan lain terungkap, mungkin berguna untuk menyentuhnya dengan tangan Anda. Anda tidak perlu menaikkan mesin virtual untuk ini. Kami memiliki VaaS - kerentanan sebagai layanan:
β’
Kerentanan sebagai layanan: Heartbleed (docker pull hmlio / vaas-cve-2014-0160)β’
Kerentanan sebagai layanan: SambaCry (buruh pelabuhan tarik kerentanan / cve-2017-7494)β’
Kerentanan sebagai layanan: Shellshock (docker pull hmlio / vaas-cve-2014-6271)Anda juga dapat menjelajahi produk tertentu yang paling sering Anda temui di pentest, misalnya, WordPress yang rentan:
β’
Instalasi WordPress yang Rentan (docker pull wpscanteam / vulnerablewordpress)Selain itu, alat pengujian itu sendiri dapat diperoleh dalam bentuk wadah:
nmap ,
zap ,
wpscan ,
metasploit , dll.
Dan bahkan seluruh citra Kali Linux dapat diperoleh dengan
buruh pelabuhan dengan perintah
kalilinux / kali-linux-dockerBy the way, sekarang wadah itu sendiri telah menjadi objek pengujian, sehingga mesin virtual yang sesuai mulai muncul untuk belajar sendiri -
Rentan Docker: 1 ,
BSidesTLV: 2018 CTF ,
myHouse7: 1 ,
DonkeyDocker: 1 .
Kontainer memiliki banyak keunggulan, namun, jelas bahwa jumlah penganut mesin virtual klasik tidak semakin kecil. Ada banyak alasan untuk ini, tetapi pada kenyataannya, jika sumber daya dari pusat pelatihan Anda memungkinkan, dan Anda dapat mengotomatisasi pekerjaan menggunakan Packer dan Vagrant, terlalu dini untuk memikirkan topik ini.
Sergey Polunin ,
Ketua Tim, Departemen Desain, Gazinformservice LLC