IPAの脆弱性体験学習ツール「AppGoat」に脆弱性が見つかる

2017年2月10日 17:09

insiderman 曰く、 IPAが無償で提供している脆弱性体験学習ツール「AppGoat」に脆弱性が発見された(JVN#39008927:脆弱性体験学習ツール AppGoat におけるクロスサイトリクエストフォージェリの脆弱性)。

 AppGoatは「学習テーマ毎に用意された演習問題に対して、埋め込まれた脆弱性の発見、プログラミング上の問題点の把握、対策手法の学習を対話的に実施できる」という学習アプリケーション。意図的に脆弱性を含んだWebアプリケーションに対して攻撃を行う、といったことを試しながら、脆弱性について学べるという(過去記事)。

 今回発見された脆弱性は「脆弱性体験学習ツール AppGoat ウェブアプリケーション用学習ツール」にログインした状態で細工された別のページにアクセスすると意図しない操作が行われる可能性がある、いわゆるクロスサイトリクエストフォージェリ(CSRF)。AppGoatは内部的にApache Webサーバーを使用しており、そこでのリクエスト処理に問題があったようだ。

 身をもって脆弱性を教えてくれる良い教材というか、ミイラ取りがミイラになるというパターンというか……。

関連記事

最新記事