「わざと脆弱性を持たせたWebアプリ」で練習を − @IT(情報元のブックマーク数)
久しぶりに上野宣か!
やられWebアプリで脆弱性について理解と学習というのはすばらしい。直すとかソリューションまで考えた学習サーバがほしいな。
■命名・「やられWebアプリケーション」(仮)
「わざと脆弱性を持たせたWebアプリ」で練習を:Security&Trust ウォッチ(59) - @IT
構築したWebアプリケーションがセキュアかどうかを確かめる方法として、疑似的に攻撃を行うことで問題を発見する「脆弱性診断」があります。脆弱性診断は専門業者が実施することがほとんどだと思いますが、あなた自らが脆弱性診断の技術を身につけることで、セキュアWebアプリケーションについての理解が深まるとか、自社内で脆弱性診断ができるようになるといったこともあるかもしれません。
脆弱性診断の技術を身につける過程では、脆弱性を見つける手法を試したり、診断ツールを試したりする必要がありますが、診断といえど攻撃と同様のことを行うので、気軽に実稼働環境で実験するわけにもいきません。ましてや、他人や他社のWebサイトで試すなどはもってのほかです。
そこで、わざと脆弱性を持たせたWebアプリケーションと、それを動作させる環境が必要になります。
これは面白そう。PHP版とかRoR版とかで人のアプリを修正するということも含めて学習できるような教材って、、ないか、売ったら買ってくれる人いるかな。
■すぐに起動できて、すぐに試せる「BadStore.net」
「わざと脆弱性を持たせたWebアプリ」で練習を:Security&Trust ウォッチ(59) - @IT
やられWebアプリケーションの中でもすぐに試せる「BadStore.net」を紹介します。Webアプリケーションの脆弱性だけではなく、OSやWebサーバなどの脆弱性も含まれていて、無償で提供されています。
BadStore.netはISOイメージで配布されていて、Linux(Trinux)とWebサーバ(Apache)がすでにインストールされています。もちろん、やられWebアプリケーションも設定済みの状態で入っているので、面倒なインストール作業などはほとんどありません。
