ニュース
情報セキュリティ企業が“脆弱性だらけのWebアプリ”無償公開 実習用の題材に
EGセキュアソリューションズが、Webアプリケーションの脆弱性について学べる実習用アプリケーション「BadTodo」を無償公開した。同アプリは多くの脆弱性を含んでおり、実際に攻撃したりソースコードを確認して実践的に学習できる。
WAF開発を手掛けるEGセキュアソリューションズ(東京都港区)は2月28日、Webアプリケーションの脆弱性について学べる実習用アプリケーション「BadTodo」を無償公開した。同アプリは多くの脆弱性を含んでおり、実際に攻撃したりソースコードを確認したりして実践的に学習できるとしている。
BadTodoは脆弱性診断実習用のアプリ。情報セキュリティの専門家であり同社CTOの徳丸浩さんが制作した。Webブラウザ上で動くToDoリストアプリとして動作するが、情報処理推進機構(IPA)の「IPA ウェブ健康診断仕様」や国際Webセキュリティ標準機構の「OWASP Top 10」で紹介されている脆弱性を網羅的に含む、脆弱性だらけのアプリになっている。
EGセキュアソリューションズによると、BadTodoには各種脆弱性を自然な形で組み込んでおり、脆弱性スキャンで見つかりにくい項目も含んでいるという。
徳丸さんは、「ぜひBadTodoを用いて脆弱性診断の実習をしていただき、その成果を個人ブログなどにてアウトプットしていただきたい」としている。
同社はBadTodoを教材とした講習会なども開催する予定。BadTodoに含まれる脆弱性を解説するコンテンツなども用意するとしている。
関連記事
- 相次いだ不正送金事件、ログイン認証の抜け穴を熟知か セキュリティ専門家の徳丸氏が解説
9月に相次いで明らかになった金融機関やその利用者を狙ったサイバー犯罪を巡り、サイバーセキュリティが専門の徳丸浩さんは「共通するのはログインが狙われたこと。サイトの特性を熟知して攻撃している」と手口について解説した。 - 「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説
セキュリティ専門家の徳丸浩氏は、「情報漏えい事件が急増した1年だった」と振り返る。情報を盗もうとする攻撃者の最新手口については「自分でも気付けるか分からない」と状況は深刻だ。 - 重要なのに知名度不足? Webアプリ・ECサイトの守りに必須な“アレ”の基本を専門家に聞く
Web周りの情報セキュリティ対策として使われる「WAF」。インターネット上で事業活動をするならほぼ必須級の対策になっているのだが、専門家はWAFの知名度不足を感じているという。 - リリース直後に1600万リクエスト、押し寄せるbotの大群 「コードギアス」スマホゲームの安定運用を実現したクラウド活用術
リリース直後に大量のアクセスが見込まれたスマホゲーム版「コードギアス」。対する開発元・JOROは従業員数30人ほどの少数精鋭。JOROが大量のアクセスを無事にさばけた背景を探る。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.