OWASP Juice Shop

セキュリティトレーニング向けに設計された、最も先進的な意図的に脆弱なWebアプリケーションです。OWASP Top 10の全脆弱性に加え、多数の実際のセキュリティ欠陥をカバーしています。

ユースケース

• セキュリティトレーニング - 安全で合法的な環境でWeb脆弱性の特定と悪用を練習
• CTFチャレンジ - 難易度の異なる100以上のハッキングチャレンジ、内蔵スコアボードで進捗管理
• 啓発デモ - リアルなECサイトで一般的な脆弱性がどのように機能するかを関係者に提示
• DevSecOpsパイプライン - 自動セキュリティスキャンツール（DAST/SAST）のターゲットアプリとして統合

はじめに

1. ブラウザで割り当てられたドメインを開く
2. まず一般ユーザーとしてショップを閲覧
3. /#/score-board で全チャレンジを確認
4. ブラウザDevTools、Burp Suite、OWASP ZAPを使用してハッキング開始

デフォルト設定

• ポート: 3000（HTTP）
• データベース: 組み込みSQLite（コンテナ再起動でリセット）
• 管理者認証情報: チャレンジの一部として発見可能

リソース

• 公式コンパニオンガイド
• GitHubリポジトリ
• OWASPプロジェクトページ