パスワードを忘れた? アカウント作成
13149554 story
教育

IPAの脆弱性体験学習ツール「AppGoat」に脆弱性が見つかる 13

ストーリー by hylom
体験できます 部門より
insiderman 曰く、

IPAが無償で提供している脆弱性体験学習ツール「AppGoat」に脆弱性が発見された(JVN#39008927:脆弱性体験学習ツール AppGoat におけるクロスサイトリクエストフォージェリの脆弱性)。

AppGoatは「学習テーマ毎に用意された演習問題に対して、埋め込まれた脆弱性の発見、プログラミング上の問題点の把握、対策手法の学習を対話的に実施できる」という学習アプリケーション。意図的に脆弱性を含んだWebアプリケーションに対して攻撃を行う、といったことを試しながら、脆弱性について学べるという(過去記事)。

今回発見された脆弱性は「脆弱性体験学習ツール AppGoat ウェブアプリケーション用学習ツール」にログインした状態で細工された別のページにアクセスすると意図しない操作が行われる可能性がある、いわゆるクロスサイトリクエストフォージェリ(CSRF)。AppGoatは内部的にApache Webサーバーを使用しており、そこでのリクエスト処理に問題があったようだ。

身をもって脆弱性を教えてくれる良い教材というか、ミイラ取りがミイラになるというパターンというか……。

  • by manmos (29892) on 2017年02月10日 14時10分 (#3158941) 日記

    「ミイラ取りがミイラ」だと「クラッカー退治してる奴がクラッカーになる」だからちょっと違う気が。

    教えてる相手に「これ脆弱性が」っていわれたら「負うた子に教えられ」か。

    いや、セキュリティーホールのあるコードばっかりを見つづけたために、それに引きずられた「大タコに教えられ」か?!

    ここに返信
  • by uxi (5376) on 2017年02月13日 13時38分 (#3160113)

    脆弱性対策のためにインストールされているアプリが最新版かどうかチェックするMyJVNバージョンチェッカ [jvndb.jvn.jp]なんてものがあって、今でこそ .NET 版があるものの、ちょっと前までは Java 版しかなかったので、セキュリティ強化してんだか、JRE 入れることで脆弱性呼び込んでるんだかわからんって状況だった。
    Java 最初から入ってる人には良かったんだろうけどさ。

    --
    uxi
    ここに返信
  • by Anonymous Coward on 2017年02月10日 17時19分 (#3159092)

    反面脆弱性体験学習ツール
    長いなら
    反面ツール

    ここに返信
    • by Anonymous Coward

      反面教師って故事成語ではないなという気がして
      何気なく反面教師をぐぐってみた
      毛沢東により発案された言葉とか書いてある
      ウィキペディアに
      意外と新しい言葉なのね
      まあ江戸時代以前に教師って言葉はなさそうといえばなさそうだけど

      • by Anonymous Coward

        「反面教師」ときくと、島本和彦先生のマンガのどれかの1シーンを思い出しそうです。

typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...