Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

最近のやられアプリを試してみた

5 888 vues

Publié le

9/21に開催したOWASP Connect in Tokyoにて登壇した時の資料です。

Publié dans : Technologie
  • Soyez le premier à commenter

最近のやられアプリを試してみた

  1. 1. 最近のやられアプリ を試してみた @tigerszk OWASP Connect in Tokyo 2018/9/21
  2. 2. 自己紹介 Shun Suzaki(洲崎 俊) 三井物産セキュアディレクション株式会社に所属 ITイベントの参加・開催や日々の脆弱性検証を ライフワークとする「とあるセキュリティエンジニア」 Twitter: とある診断員@tigerszk • ISOG-J WG1 • Burp Suite Japan User Group • OWASP JAPAN Promotion Team • IT勉強会「#ssmjp」運営メンバー I‘M A CERTAIN PENTESTER! 公開スライド:http://www.slideshare.net/zaki4649/ Blog:http://tigerszk.hatenablog.com/
  3. 3. やられアプリとは? • 予め脆弱性が作りこんであるアプリケーション のこと • こんな用途に使えます • セキュリティを学習したい • 攻撃のデモなどにつかいたい • スキャンツールやWAFなどの評価したい • 実際に攻撃をしてみて学習したい
  4. 4. 有名処だと • OWASP BWA (The Broken Web Applications) https://www.owasp.org/index.php/OWASP_Br oken_Web_Applications_Project
  5. 5. どんな感じなの? • やられアプリの詰め合わせセット • Ubuntuの仮想マシンイメージを配布 • 以下6つのカテゴリに分かれる37個のアプリで構成 1. Training Applications (トレーニングアプリケーション) 2. Realistic, Intentionally Vulnerable Applications (現実的な意図的に脆弱なアプリケーション) 3. Old Versions of Real Applications (現実のアプリケーションにおける古いバージョン) 4. Applications for Testing Tools (ツールテストのためのアプリケーション) 5. Demonstration Pages / Small Applications (デモページ、小さいアプリケーション) 6. OWASP Demonstration Applications (OWASP デモ・アプリケーション) 詳しいまとめ OWASP BWA (The Broken Web Applications) とは? https://www.pupha.net/archives/827/
  6. 6. やられアプリリンク集 • OWASP VWAD(Vulnerable Web Applications Deirectory Project) https://www.owasp.org/index.php/OWASP _Vulnerable_Web_Applications_Directory_P roject • 現在利用可能なやられアプリケーションの まとめ • 以下のようなカテゴリごとにまとめられている • オンライン • オフライン • VMやISO配布のもの
  7. 7. BWAに搭載されているアプリは ちょっと古めのものが多い?
  8. 8. というわけで、今回は 割と最近のやられアプリを紹介
  9. 9. OWASP Juice Shop • OWASP Juice Shop https://github.com/bkimminich/juice-shop
  10. 10. 特徴 • Node.js、Express、AngularJSで開発された モダンなやられアプリ • OWASP Top 10を中心としたWebアプリケー ションの脆弱性に対応 • 課題を解きながら脆弱性を学べる • 課題ごとにFlagを出力するCTFモードなども
  11. 11. めっちゃ簡単に試せる • Heroku上で超に簡単デプロイ(デモします) • Dockerイメージを配布 docker pull bkimminich/juice-shop docker run --rm -p 3000:3000 bkimminich/juice-shop • Vagrantでもイメージを配布している
  12. 12. こんな感じで課題をといてく
  13. 13. しっかりしたドキュメントも • Pwning OWASP Juice Shop https://bkimminich.gitbooks.io/pwning-owasp- juice-shop/
  14. 14. 他にはこんなのもあるよ • OWASP NodeGoat Node.jsを使用して開発されたやられWebアプリ Server Side JS InjectionやNoSQLInjectionなども試せる https://github.com/OWASP/NodeGoat • Webseclab Yahooが公開したスキャナテスト用のやられWebアプリ Go言語で開発されている https://github.com/yahoo/webseclab • Firing Range Googleが公開したスキャナテスト用のやられWebアプリ 様々なXSSのテストパターンが実装されている Google App Engineアプリケーションとしてデプロイできる https://github.com/google/firing-range
  15. 15. 国産のも沢山あるよ • BadLibrary はせがわようすけさんがNode.jsで開発されたやられアプリ https://github.com/SecureSkyTechnology/BadLibrary • Bad SNS にしむねあさんがRuby on Railsで開発されたやられアプリ https://github.com/nishimunea/badsns はるぷさんが開発された連携するやられAndroidアプリもある https://github.com/harupu/badsns-android • 箱庭BadStore Burp Suite ExtenderでBadStoreを再現 Burp SuiteさえあればOKなやられアプリ https://github.com/ankokuty/HakoniwaBadStore • EasyBuggy メモリリーク、デッドロック、無限ループなどのバグも実装された Javaで開発されたやられアプリ Spring Boot、Kotlin、 Django 2で開発されたものもリリースされています https://github.com/k-tamura/easybuggy/
  16. 16. まとめ さあ、試してみたくなったかな? 色々なやられアプリを試して、セキュリティ を学んでみよう! あと、やられアプリを、実際に自分で作って みるのも勉強になりますよ!

×