パスワードを忘れた? アカウント作成
293870 story
セキュリティ

IPA、安全なアプリ開発のための実習式学習ツール「AppGoat」を公開 16

ストーリー by hylom
研修などには便利かも 部門より

asaishi 曰く、

情報処理推進機構(IPA)は1月27日、安全なアプリケーション開発技法の学習ツール「AppGoat」を開発した(プレスリリース)。

「AppGoat」は、開発経験の浅い初心者から上級者までを対象に、脆弱性の発見方法および対策について、実習形式で体系的に学べることが可能というツール。学習者のWindows上にてApacheを起動し、脆弱性を含んだウェブアプリケーションを操作して、疑似的に攻撃するなどの行為を試すことで、脆弱性の影響、対策を体験的に学べるようになっている。また、学習した内容をもとに、脆弱性の含まれているソースコードを修正し、コンパイルして脆弱性が修正されていることも確認できるようにもなっている。

動作環境はWindows XP SP3/Windows Vista SP2/Windows 7(32bit版)、Internet Explorer 7またはFirefox 3.6以上。

情報処理推進機構(IPA)によるツール概要・FAQなど説明ページも用意されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 無償版は確かAdobe Reader のはずだ。
    有償版 Acrobat を入れないと使えない様な気がする。
    それとも、試させて、ダウンロード数を稼ぐのだろうか?
    カングリ過ぎか。
    試しに使うと、ScapeGoat になる様な気もする。
    • by Anonymous Coward

      あれ、なんで素直にインストーラーだけダウンロードさせてくれないのかな
      変なプラグインまで入れさせようとするのが気味悪くてやめたよ
      抱き合わせで変なセキュリティソフト突っ込もうとするのも悪質だし

      • by Anonymous Coward
        ftpサイトから取得するとよいですよ。
        通常の(dlm無しの)インストールイメージがあったかと。
  • by Anonymous Coward on 2011年01月28日 18時45分 (#1894917)

    Goatって山羊だよねえ?どういうネーミングなのだろうか。
    すぐ思いつくのは贖罪の山羊だけど、犯罪被害者じゃなく加害者演習なのだとすれば
    Sheepの反対としての「悪いヤツ」?
    辞書ひらいて「すけべじじい」という意味があることを知ったがこれはないよね
    # 開発者に八木さんがいたりして

  • by Anonymous Coward on 2011年01月28日 19時31分 (#1894933)

    根本的な問題として、ユーザーのローカルにApacheなんざいれちゃうこと自体が、まず安全な話じゃないと思うんですが。
    もちろんセキュリティについての知識があって自分のPCを守れる人ならともかく、プログラミング初心者レベルだったりするとセキュリティの知識なんてそんなにないと思うんですよ。もちろん「Webプログラミングで穴を作らないセキュリティの知識」と「自分のPCを不正侵入から守る知識」はかなり別物なのは重々承知ですが。

    Apacheなんて脆弱性を「探されてる度合い」で言えば間違いなくトップレベルの品ですし、学習が終わって放置したらそれ自体がセキュリティホールになる、なんてオチも考えられますよね。
    #Windows上のApacheというのは珍しいからそうでもないのかもしれないけど

    簡易式でいいから、localhostにしか応答を返さない独自サーバーを使うべきじゃないだろうか。

    • by upken (38225) on 2011年01月29日 14時38分 (#1895208)

      仮想環境上で動かしてみました。
      諸兄の心配事に関して判明した範囲で回答

      >学習が終わって放置したらそれ自体がセキュリティホールになる、なんてオチ
      サービスとしては動いていないので学習を終了したらApacheも止まりますね。
      学習中はポートが空きっぱなしですが・・・
      あと、localhost 以外のTCP/80も空いていますが、http://localhost/ または http://127.0.0.1/ [127.0.0.1] 以外で
      アクセスすると 403 になります。
      # ここまでやるんなら localhost 限定にしてほしかった・・・
      # アンケートにフィードバックしておこう。

      >脆弱性の修正にコンパイルってあるんだけど、バイナリなの?
      教材の言語は PHP だけでコンパイルはありません。
      VC++ ランタイム ライブラリーは Windows 版 Apache を動かすために要求されるようです。

      親コメント
      • Re:根本的な問題 (スコア:1, 参考になる)

        by Anonymous Coward on 2011年01月29日 16時07分 (#1895234)

        > 学習中はポートが空きっぱなしですが・・・
        インストールのページに、Windowsファイアウォールの警告が出たらブロックを選択しろって書いてるでしょ?
        ちゃんと指示通りにブロックを選択していればlocalhost以外からは接続できなくなるので心配無用です。
        > # ここまでやるんなら localhost 限定にしてほしかった・・・
        というわけでlocalhost限定のはずなのですが、Windowsファイアウォールの警告を出さずにlocalhost限定にする方法はあるので確かにそのほうが望ましいですね。
        具体的にはhttpd.confの
        Listen 80

        Listen 127.0.0.1:80
        Listen [::1]:80
        とかに書き換えます。最初からlocalhost限定でlistenしている場合、Windowsファイアウォールの警告は出ません。

        親コメント
    • by Anonymous Coward
      > localhostにしか応答を返さない独自サーバーを使うべきじゃないだろうか。
      httpd.conf に Listen localhost:80 でいいんじゃね
    • by Anonymous Coward
      さいきんのルータはデフォルトでその手のポートはふさがってるんじゃない?
      PC直結な人はこんなの手をださんだろうし。
  • by Anonymous Coward on 2011年01月28日 23時21分 (#1895008)
    脆弱性の修正にコンパイルってあるんだけど、バイナリなの?
    てっきりスクリプト言語をのせてるんだと思った。面倒だなあ。VC#expressとかさらにインストールだと超面倒。

    それともばりばりVC++SDKで書かれてて、自分でデバッガつかって解析しるとか?
    • by Anonymous Coward

      Apacheを教えてくれる教材じゃないのか?
      #終了はApacheの完成w

      • by Anonymous Coward

        毎号Apacheのモジュールが付録で付いてきて、創刊号は特別価格!

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...