Web-Pentest von Null: Ein Sicheres Lab mit DVWA, Juice Shop und Burp Suite Bauen

Manche Leute werfen Burp Suite gegen die erstbeste Seite aus Google und fuhlen sich schon als Pentester. In uber dreissig Landern ist das eine Straftat, in Deutschland klar nach Paragraph 202c und 303a StGB. Der einzig vernunftige Weg ist ein eigenes Labor, vollstandig isoliert und voll mit legal verwundbaren Zielen, bevor man irgendein echtes System anfasst. In diesem Guide baut das Basilisk-Team eine reproduzierbare Umgebung auf einer 16GB-RAM-Maschine, mit DVWA, OWASP Juice Shop und Burp Suite Community als Starttrio. Alles lauft in einem VirtualBox-Host-Only-Netz, ohne dass ein einziges Bit nach aussen leckt.

Beginne mit der Isolationsschicht, denn sie trennt Forschung von Vorfall. Erstelle eine Kali-Linux-2026.1-VM mit zwei Adaptern: ein abschaltbares NAT fur Updates und ein Host-Only-Adapter im Bereich 192.168.56.0/24. Zielmaschinen (ein Ubuntu 22.04 mit DVWA in Docker und ein weiteres Ubuntu mit Juice Shop auf Port 3000) bleiben AUSSCHLIESSLICH im Host-Only-Netz. Loesche darin jede Default-Route mit `ip route del default`. Dasselbe Prinzip wird in Pivoting mit Chisel und Ligolo-ng: Segmentierte Netze im Pentest-Lab vertieft, sobald du Subnetze segmentierst. Snapshots vor jeder Session sparen dir Stunden Neuinstallation.

Starte DVWA mit `docker run --rm -it -p 80:80 vulnerables/web-dvwa` und setze das Security Level beim ersten Kontakt auf low. Ziel ist nicht, am ersten Tag alle Module abzuhaken, sondern den Zyklus zu verinnerlichen: Request in Burp beobachten, Parameter andern, Response beobachten, Payload schreiben, wiederholen. Das SQL-Injection-Modul von DVWA ist der klassische Augenoffner, vergleiche es danach mit der tieferen Behandlung in SQL Injection in der Praxis: Ausnutzen, Erkennen und Mitigieren im Kontrollierten Lab sobald dein erstes `' OR 1=1-- -` durchlauft. Gleiche Logik fur XSS: spielen auf DVWA, dann vertiefen mit Modernes XSS: DOM, Stored und Reflected mit Beispielen aus dem Testlabor.

Juice Shop ist ein brutaler Realismus-Upgrade. Eine Angular-SPA mit uber 100 Challenges, verstecktem Scoreboard, schlecht validiertem JWT und REST-Endpunkten voller IDOR. Hoch damit per `docker run --rm -p 3000:3000 bkimminich/juice-shop`, dann konfiguriere Burp Suite Community als Proxy auf 127.0.0.1:8080. Importiere Burps CA-Zertifikat in das dedizierte Firefox-Profil im Kali (NIEMALS in deinen privaten Browser), um TLS zu intercepten. Wer in Richtung APIs gehen will, findet in Pentest von REST und GraphQL APIs: Technische Checkliste fur legales Bug Bounty den GraphQL-Flow, den Juice Shop unter `/api` exponiert, und SSRF Entmystifiziert: Cloud Metadata im Lokalen AWS-Lab Ausnutzen erganzt die SSRF-Challenges der hoheren Level.

Konfiguriere Burp mit aggressiv engem Scope. Unter Target > Scope nur `192.168.56.0/24` hinzufugen und die Option zum Blocken von Out-of-Scope-Traffic aktivieren. Dieser eine Klick verhindert den klassischen Praktikanten-Albtraum, dass Intruder uber Nacht gegen ein CDN lauft. Lege pro Ziel eine eigene Project File an (`dvwa.burp`, `juiceshop.burp`), damit Findings sauber bleiben. Aktiviere Logger++ aus dem BApp Store fur vollstandigen Audit-Trail und installiere Param Miner fur versteckte Header. Wer im Team arbeitet, sollte OPSEC fuer Security-Researcher: Persoenliches Bedrohungsmodell lesen, bevor irgendein Screenshot in einen offentlichen Chat geklebt wird, egal wie harmlos er aussieht.

Dokumentiere jeden Exploit mit drei Artefakten: roher Request, exakter Payload und erwartetes vs. beobachtetes Verhalten. Nutze einen Obsidian-Vault, der nur dem Lab gehort, mit Tags entlang der OWASP Top 10. Wenn du im Juice Shop einen schlecht gefilterten Avatar-Upload findest, schreib das Write-up bevor du zur nachsten Challenge rennst; diese Disziplin trennt Hobbyist und Profi, und das Thema wird in File-Upload-Schwachstellen ausloten, ohne Gesetze zu brechen ohne Umschweife behandelt. Halte verschlusselte Backups des Vaults, denn dein Exploit-Notizbuch ist Gold und ein Risiko in dem Moment, in dem es leckt.

Vor Session-Ende die VMs mit `VBoxManage controlvm poweroff` herunterfahren und das temporare NAT widerrufen. Setze den sauberen Snapshot zuruck, wenn du etwas Experimentelles installiert hast, besonders dritte Burp-Extensions, die selten auditiert werden. Praktisches Takeaway: behandle dein Lab wie einen kleinen Kernreaktor mit Betriebslogbuch, segregierten Netzen und Pflicht-Snapshots. Wenn du mit DVWA und Juice Shop sicher bist, wechsle zu HackTheBox, TryHackMe oder Bug-Bounty-Programmen mit schriftlichem Scope. Praxis ohne Scope ist kein Pentest, sondern eine Straftat mit bis zu drei Jahren Haft. Labordisziplin ist das, was dich auf der richtigen Seite dieser Linie halt.