IPAの脆弱性体験学習ツール「AppGoat」に脆弱性が見つかる 14
ストーリー by hylom
体験できます 部門より
体験できます 部門より
insiderman 曰く、
IPAが無償で提供している脆弱性体験学習ツール「AppGoat」に脆弱性が発見された(JVN#39008927:脆弱性体験学習ツール AppGoat におけるクロスサイトリクエストフォージェリの脆弱性)。
AppGoatは「学習テーマ毎に用意された演習問題に対して、埋め込まれた脆弱性の発見、プログラミング上の問題点の把握、対策手法の学習を対話的に実施できる」という学習アプリケーション。意図的に脆弱性を含んだWebアプリケーションに対して攻撃を行う、といったことを試しながら、脆弱性について学べるという(過去記事)。
今回発見された脆弱性は「脆弱性体験学習ツール AppGoat ウェブアプリケーション用学習ツール」にログインした状態で細工された別のページにアクセスすると意図しない操作が行われる可能性がある、いわゆるクロスサイトリクエストフォージェリ(CSRF)。AppGoatは内部的にApache Webサーバーを使用しており、そこでのリクエスト処理に問題があったようだ。
身をもって脆弱性を教えてくれる良い教材というか、ミイラ取りがミイラになるというパターンというか……。
たとえに違和感 (スコア:5, 興味深い)
「ミイラ取りがミイラ」だと「クラッカー退治してる奴がクラッカーになる」だからちょっと違う気が。
教えてる相手に「これ脆弱性が」っていわれたら「負うた子に教えられ」か。
いや、セキュリティーホールのあるコードばっかりを見つづけたために、それに引きずられた「大タコに教えられ」か?!
Re:たとえに違和感 (スコア:5, すばらしい洞察)
脆弱性を体験できるんだから「看板に偽りなし」だろう。
Re: (スコア:0)
私もタイトル読んだとき「間違い探しで間違いが見つかって何か問題でも?」と思いました。
Re:たとえに違和感 (スコア:1)
ここはアレゲ的回答で
「つ鏡」 でW
Re:たとえに違和感 (スコア:1)
いやいや
ミイラ取りにいって自分がミイラになってしまうんだから
脆弱性探すソフトで脆弱性つくっちゃったんだからあってるのでは?
クラッカーが進化するとセキュリティ専門家になるのが普通だし
Re: (スコア:0)
「紺屋の白袴」では……。
Re: (スコア:0)
「医者の不養生」かな。
病気(ウィルス、脆弱性、不健康体)ってことで。
Re: (スコア:0)
「類は友を呼ぶ」でしょう。
IPAといえば「つこうた事件」なんてのもありましたなぁ (スコア:0)
いろいろ、話題に事欠かない組織ですねww
IPAの方針はよく分からん (スコア:2)
脆弱性対策のためにインストールされているアプリが最新版かどうかチェックするMyJVNバージョンチェッカ [jvndb.jvn.jp]なんてものがあって、今でこそ .NET 版があるものの、ちょっと前までは Java 版しかなかったので、セキュリティ強化してんだか、JRE 入れることで脆弱性呼び込んでるんだかわからんって状況だった。
Java 最初から入ってる人には良かったんだろうけどさ。
uxi
あたらしい故事成語 (スコア:0)
反面脆弱性体験学習ツール
長いなら
反面ツール
Re: (スコア:0)
反面教師って故事成語ではないなという気がして
何気なく反面教師をぐぐってみた
毛沢東により発案された言葉とか書いてある
ウィキペディアに
意外と新しい言葉なのね
まあ江戸時代以前に教師って言葉はなさそうといえばなさそうだけど
Re: (スコア:0)
「反面教師」ときくと、島本和彦先生のマンガのどれかの1シーンを思い出しそうです。
スケープゴート (スコア:0)
かと一瞬思った