IPA、安全なアプリ開発のための実習式学習ツール「AppGoat」を公開 16
ストーリー by hylom
研修などには便利かも 部門より
研修などには便利かも 部門より
asaishi 曰く、
情報処理推進機構(IPA)は1月27日、安全なアプリケーション開発技法の学習ツール「AppGoat」を開発した(プレスリリース)。
「AppGoat」は、開発経験の浅い初心者から上級者までを対象に、脆弱性の発見方法および対策について、実習形式で体系的に学べることが可能というツール。学習者のWindows上にてApacheを起動し、脆弱性を含んだウェブアプリケーションを操作して、疑似的に攻撃するなどの行為を試すことで、脆弱性の影響、対策を体験的に学べるようになっている。また、学習した内容をもとに、脆弱性の含まれているソースコードを修正し、コンパイルして脆弱性が修正されていることも確認できるようにもなっている。
動作環境はWindows XP SP3/Windows Vista SP2/Windows 7(32bit版)、Internet Explorer 7またはFirefox 3.6以上。
情報処理推進機構(IPA)によるツール概要・FAQなど説明ページも用意されている。
Adobe Acrobat Reader と書いてあると有償版の様な気がしてしまう (スコア:2)
有償版 Acrobat を入れないと使えない様な気がする。
それとも、試させて、ダウンロード数を稼ぐのだろうか?
カングリ過ぎか。
試しに使うと、ScapeGoat になる様な気もする。
間違っているのは FAQ だけの様だ (スコア:2)
Re: (スコア:0)
あれ、なんで素直にインストーラーだけダウンロードさせてくれないのかな
変なプラグインまで入れさせようとするのが気味悪くてやめたよ
抱き合わせで変なセキュリティソフト突っ込もうとするのも悪質だし
Re: (スコア:0)
通常の(dlm無しの)インストールイメージがあったかと。
やぎさん (スコア:0)
Goatって山羊だよねえ?どういうネーミングなのだろうか。
すぐ思いつくのは贖罪の山羊だけど、犯罪被害者じゃなく加害者演習なのだとすれば
Sheepの反対としての「悪いヤツ」?
辞書ひらいて「すけべじじい」という意味があることを知ったがこれはないよね
# 開発者に八木さんがいたりして
Re:やぎさん (スコア:1)
この辺贖罪の山羊との違いがよくわからんかった・・・キリスト教ムズカシイネ
Re:やぎさん (スコア:1, 参考になる)
本家がありますYO
OWASP WebGoat Project
http://www.owasp.org/index.php/Category:OWASP_WebGoat_Project [owasp.org]
Re: (スコア:0)
お手紙勝手に食べちゃうからじゃね?
根本的な問題 (スコア:0)
根本的な問題として、ユーザーのローカルにApacheなんざいれちゃうこと自体が、まず安全な話じゃないと思うんですが。
もちろんセキュリティについての知識があって自分のPCを守れる人ならともかく、プログラミング初心者レベルだったりするとセキュリティの知識なんてそんなにないと思うんですよ。もちろん「Webプログラミングで穴を作らないセキュリティの知識」と「自分のPCを不正侵入から守る知識」はかなり別物なのは重々承知ですが。
Apacheなんて脆弱性を「探されてる度合い」で言えば間違いなくトップレベルの品ですし、学習が終わって放置したらそれ自体がセキュリティホールになる、なんてオチも考えられますよね。
#Windows上のApacheというのは珍しいからそうでもないのかもしれないけど
簡易式でいいから、localhostにしか応答を返さない独自サーバーを使うべきじゃないだろうか。
Re:根本的な問題 (スコア:1)
仮想環境上で動かしてみました。
諸兄の心配事に関して判明した範囲で回答
>学習が終わって放置したらそれ自体がセキュリティホールになる、なんてオチ
サービスとしては動いていないので学習を終了したらApacheも止まりますね。
学習中はポートが空きっぱなしですが・・・
あと、localhost 以外のTCP/80も空いていますが、http://localhost/ または http://127.0.0.1/ [127.0.0.1] 以外で
アクセスすると 403 になります。
# ここまでやるんなら localhost 限定にしてほしかった・・・
# アンケートにフィードバックしておこう。
>脆弱性の修正にコンパイルってあるんだけど、バイナリなの?
教材の言語は PHP だけでコンパイルはありません。
VC++ ランタイム ライブラリーは Windows 版 Apache を動かすために要求されるようです。
Re:根本的な問題 (スコア:1, 参考になる)
> 学習中はポートが空きっぱなしですが・・・
インストールのページに、Windowsファイアウォールの警告が出たらブロックを選択しろって書いてるでしょ?
ちゃんと指示通りにブロックを選択していればlocalhost以外からは接続できなくなるので心配無用です。
> # ここまでやるんなら localhost 限定にしてほしかった・・・
というわけでlocalhost限定のはずなのですが、Windowsファイアウォールの警告を出さずにlocalhost限定にする方法はあるので確かにそのほうが望ましいですね。
具体的にはhttpd.confの
Listen 80
を
Listen 127.0.0.1:80
Listen [::1]:80
とかに書き換えます。最初からlocalhost限定でlistenしている場合、Windowsファイアウォールの警告は出ません。
Re: (スコア:0)
httpd.conf に Listen localhost:80 でいいんじゃね
Re: (スコア:0)
PC直結な人はこんなの手をださんだろうし。
コンパイル (スコア:0)
てっきりスクリプト言語をのせてるんだと思った。面倒だなあ。VC#expressとかさらにインストールだと超面倒。
それともばりばりVC++SDKで書かれてて、自分でデバッガつかって解析しるとか?
Re: (スコア:0)
Apacheを教えてくれる教材じゃないのか?
#終了はApacheの完成w
Re: (スコア:0)
毎号Apacheのモジュールが付録で付いてきて、創刊号は特別価格!