IPAの脆弱性体験学習ツール「AppGoat」に脆弱性が見つかる
2017年2月10日 17:09
insiderman 曰く、 IPAが無償で提供している脆弱性体験学習ツール「AppGoat」に脆弱性が発見された(JVN#39008927:脆弱性体験学習ツール AppGoat におけるクロスサイトリクエストフォージェリの脆弱性)。
AppGoatは「学習テーマ毎に用意された演習問題に対して、埋め込まれた脆弱性の発見、プログラミング上の問題点の把握、対策手法の学習を対話的に実施できる」という学習アプリケーション。意図的に脆弱性を含んだWebアプリケーションに対して攻撃を行う、といったことを試しながら、脆弱性について学べるという(過去記事)。
今回発見された脆弱性は「脆弱性体験学習ツール AppGoat ウェブアプリケーション用学習ツール」にログインした状態で細工された別のページにアクセスすると意図しない操作が行われる可能性がある、いわゆるクロスサイトリクエストフォージェリ(CSRF)。AppGoatは内部的にApache Webサーバーを使用しており、そこでのリクエスト処理に問題があったようだ。
身をもって脆弱性を教えてくれる良い教材というか、ミイラ取りがミイラになるというパターンというか……。