Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.
最近のやられアプリ
を試してみた
@tigerszk
OWASP Connect in Tokyo
2018/9/21
自己紹介
Shun Suzaki(洲崎 俊)
三井物産セキュアディレクション株式会社に所属
ITイベントの参加・開催や日々の脆弱性検証を
ライフワークとする「とあるセキュリティエンジニア」
Twitter:
とある診断員@tigerszk
• ...
やられアプリとは?
• 予め脆弱性が作りこんであるアプリケーション
のこと
• こんな用途に使えます
• セキュリティを学習したい
• 攻撃のデモなどにつかいたい
• スキャンツールやWAFなどの評価したい
• 実際に攻撃をしてみて学習したい
有名処だと
• OWASP BWA (The Broken Web Applications)
https://www.owasp.org/index.php/OWASP_Br
oken_Web_Applications_Project
どんな感じなの?
• やられアプリの詰め合わせセット
• Ubuntuの仮想マシンイメージを配布
• 以下6つのカテゴリに分かれる37個のアプリで構成
1. Training Applications
(トレーニングアプリケーション)
2. R...
やられアプリリンク集
• OWASP VWAD(Vulnerable Web
Applications Deirectory Project)
https://www.owasp.org/index.php/OWASP
_Vulnerable_...
BWAに搭載されているアプリは
ちょっと古めのものが多い?
というわけで、今回は
割と最近のやられアプリを紹介
OWASP Juice Shop
• OWASP Juice Shop
https://github.com/bkimminich/juice-shop
特徴
• Node.js、Express、AngularJSで開発された
モダンなやられアプリ
• OWASP Top 10を中心としたWebアプリケー
ションの脆弱性に対応
• 課題を解きながら脆弱性を学べる
• 課題ごとにFlagを出力する...
めっちゃ簡単に試せる
• Heroku上で超に簡単デプロイ(デモします)
• Dockerイメージを配布
docker pull bkimminich/juice-shop
docker run --rm -p 3000:3000 bkimmi...
こんな感じで課題をといてく
しっかりしたドキュメントも
• Pwning OWASP Juice Shop
https://bkimminich.gitbooks.io/pwning-owasp-
juice-shop/
他にはこんなのもあるよ
• OWASP NodeGoat
Node.jsを使用して開発されたやられWebアプリ
Server Side JS InjectionやNoSQLInjectionなども試せる
https://github.com/O...
国産のも沢山あるよ
• BadLibrary
はせがわようすけさんがNode.jsで開発されたやられアプリ
https://github.com/SecureSkyTechnology/BadLibrary
• Bad SNS
にしむねあさんが...
まとめ
さあ、試してみたくなったかな?
色々なやられアプリを試して、セキュリティ
を学んでみよう!
あと、やられアプリを、実際に自分で作って
みるのも勉強になりますよ!
Próxima SlideShare
Cargando en…5
×

最近のやられアプリを試してみた

9.457 visualizaciones

Publicado el

9/21に開催したOWASP Connect in Tokyoにて登壇した時の資料です。

Publicado en: Tecnología
  • Sé el primero en comentar

最近のやられアプリを試してみた

  1. 1. 最近のやられアプリ を試してみた @tigerszk OWASP Connect in Tokyo 2018/9/21
  2. 2. 自己紹介 Shun Suzaki(洲崎 俊) 三井物産セキュアディレクション株式会社に所属 ITイベントの参加・開催や日々の脆弱性検証を ライフワークとする「とあるセキュリティエンジニア」 Twitter: とある診断員@tigerszk • ISOG-J WG1 • Burp Suite Japan User Group • OWASP JAPAN Promotion Team • IT勉強会「#ssmjp」運営メンバー I‘M A CERTAIN PENTESTER! 公開スライド:http://www.slideshare.net/zaki4649/ Blog:http://tigerszk.hatenablog.com/
  3. 3. やられアプリとは? • 予め脆弱性が作りこんであるアプリケーション のこと • こんな用途に使えます • セキュリティを学習したい • 攻撃のデモなどにつかいたい • スキャンツールやWAFなどの評価したい • 実際に攻撃をしてみて学習したい
  4. 4. 有名処だと • OWASP BWA (The Broken Web Applications) https://www.owasp.org/index.php/OWASP_Br oken_Web_Applications_Project
  5. 5. どんな感じなの? • やられアプリの詰め合わせセット • Ubuntuの仮想マシンイメージを配布 • 以下6つのカテゴリに分かれる37個のアプリで構成 1. Training Applications (トレーニングアプリケーション) 2. Realistic, Intentionally Vulnerable Applications (現実的な意図的に脆弱なアプリケーション) 3. Old Versions of Real Applications (現実のアプリケーションにおける古いバージョン) 4. Applications for Testing Tools (ツールテストのためのアプリケーション) 5. Demonstration Pages / Small Applications (デモページ、小さいアプリケーション) 6. OWASP Demonstration Applications (OWASP デモ・アプリケーション) 詳しいまとめ OWASP BWA (The Broken Web Applications) とは? https://www.pupha.net/archives/827/
  6. 6. やられアプリリンク集 • OWASP VWAD(Vulnerable Web Applications Deirectory Project) https://www.owasp.org/index.php/OWASP _Vulnerable_Web_Applications_Directory_P roject • 現在利用可能なやられアプリケーションの まとめ • 以下のようなカテゴリごとにまとめられている • オンライン • オフライン • VMやISO配布のもの
  7. 7. BWAに搭載されているアプリは ちょっと古めのものが多い?
  8. 8. というわけで、今回は 割と最近のやられアプリを紹介
  9. 9. OWASP Juice Shop • OWASP Juice Shop https://github.com/bkimminich/juice-shop
  10. 10. 特徴 • Node.js、Express、AngularJSで開発された モダンなやられアプリ • OWASP Top 10を中心としたWebアプリケー ションの脆弱性に対応 • 課題を解きながら脆弱性を学べる • 課題ごとにFlagを出力するCTFモードなども
  11. 11. めっちゃ簡単に試せる • Heroku上で超に簡単デプロイ(デモします) • Dockerイメージを配布 docker pull bkimminich/juice-shop docker run --rm -p 3000:3000 bkimminich/juice-shop • Vagrantでもイメージを配布している
  12. 12. こんな感じで課題をといてく
  13. 13. しっかりしたドキュメントも • Pwning OWASP Juice Shop https://bkimminich.gitbooks.io/pwning-owasp- juice-shop/
  14. 14. 他にはこんなのもあるよ • OWASP NodeGoat Node.jsを使用して開発されたやられWebアプリ Server Side JS InjectionやNoSQLInjectionなども試せる https://github.com/OWASP/NodeGoat • Webseclab Yahooが公開したスキャナテスト用のやられWebアプリ Go言語で開発されている https://github.com/yahoo/webseclab • Firing Range Googleが公開したスキャナテスト用のやられWebアプリ 様々なXSSのテストパターンが実装されている Google App Engineアプリケーションとしてデプロイできる https://github.com/google/firing-range
  15. 15. 国産のも沢山あるよ • BadLibrary はせがわようすけさんがNode.jsで開発されたやられアプリ https://github.com/SecureSkyTechnology/BadLibrary • Bad SNS にしむねあさんがRuby on Railsで開発されたやられアプリ https://github.com/nishimunea/badsns はるぷさんが開発された連携するやられAndroidアプリもある https://github.com/harupu/badsns-android • 箱庭BadStore Burp Suite ExtenderでBadStoreを再現 Burp SuiteさえあればOKなやられアプリ https://github.com/ankokuty/HakoniwaBadStore • EasyBuggy メモリリーク、デッドロック、無限ループなどのバグも実装された Javaで開発されたやられアプリ Spring Boot、Kotlin、 Django 2で開発されたものもリリースされています https://github.com/k-tamura/easybuggy/
  16. 16. まとめ さあ、試してみたくなったかな? 色々なやられアプリを試して、セキュリティ を学んでみよう! あと、やられアプリを、実際に自分で作って みるのも勉強になりますよ!

×