Hello there, ('ω')ノ
VirtualBoxにOVAファイルをインポートするだけで、Kali上で複数のWEBアプリ脆弱性診断用テスティングサイトが一通り使える環境を作りました。
トレーニング目的で使う分には十分実用的で、導入が簡単なのが最大のメリットです。以下、概要と導入時のポイント、注意点をまとめます。
動画
何ができるのか(概要)
- VirtualBox に OVA をインポートするだけで動く仮想マシン構成
- Kali Linux 上で OWASP系やトレーニング用のテストサイト(Juice Shop や DVWA など)が起動済み
- Burp Suite(インストール済み・旧バージョン)が含まれており、診断の練習がそのまま始められる
- ネットワークは基本的に NAT(外部アクセス可)またはブリッジに切替可能
導入手順(ざっくり)
- VirtualBox をインストール(ホストOSに応じた通常手順)
- OVA ファイルをダウンロード(公式または配布元を確認)
- VirtualBox → File → Import Appliance で OVA を選択してインポート
- 仮想マシン設定(必要ならメモリ・CPU・ネットワーク設定を調整)
- 簡単にネット接続するなら
NAT、同一LANでアクセスしたければBridged Adapter
- 簡単にネット接続するなら
- 仮想マシンを起動し、Kali にログイン
- ブラウザでローカルのテストサイトにアクセスして動作確認(例:
http://localhost:xxxxや配布元の案内URL)
Burp Suite について
- 同梱されている Burp Suite は 旧バージョン ですが、基本的な機能(プロキシ、インターセプト、スキャナの基礎など)は学習・演習に十分使えます。
- もし最新版が必要なら、PortSwigger 公式からダウンロードして入れ替えることも可能です(自己責任で実施してください)。
- 公式インストーラ(.sh/.jar)を使って上書きまたは別ディレクトリに入れると安全です。
- VirtualBox 内のネットワーク接続が必要なので、ダウンロード前にネットワーク設定を確認してください。
利点
- セットアップがとにかく簡単(手作業で複数サービスを立てる必要なし)
- 練習用に揃っているため、短時間で学習やハンズオンが可能
- 仮想マシンなのでスナップショットを取れば、失敗してもすぐ元に戻せる
Best regards, (^^ゞ
