IPAの脆弱性体験学習ツール「AppGoat」に脆弱性が見つかる

insiderman 曰く、　IPAが無償で提供している脆弱性体験学習ツール「AppGoat」に脆弱性が発見された（JVN#39008927：脆弱性体験学習ツール AppGoat におけるクロスサイトリクエストフォージェリの脆弱性）。

　AppGoatは「学習テーマ毎に用意された演習問題に対して、埋め込まれた脆弱性の発見、プログラミング上の問題点の把握、対策手法の学習を対話的に実施できる」という学習アプリケーション。意図的に脆弱性を含んだWebアプリケーションに対して攻撃を行う、といったことを試しながら、脆弱性について学べるという（過去記事）。

　今回発見された脆弱性は「脆弱性体験学習ツール AppGoat ウェブアプリケーション用学習ツール」にログインした状態で細工された別のページにアクセスすると意図しない操作が行われる可能性がある、いわゆるクロスサイトリクエストフォージェリ（CSRF）。AppGoatは内部的にApache Webサーバーを使用しており、そこでのリクエスト処理に問題があったようだ。

　身をもって脆弱性を教えてくれる良い教材というか、ミイラ取りがミイラになるというパターンというか……。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | 教育

　関連ストーリー：
WordPress 4.7.0および4.7.1 に認証なしでコンテンツをアップロードできる深刻な脆弱性 2017年02月07日
セキュリティソフト「SaAT Netizen」には中間者攻撃などとの組み合わせで任意のプログラムを送り込んで実行される可能性がある 2016年03月07日
ソフォスのディスク暗号化ツールに不具合、ノートPC紛失によって発覚 2014年06月30日
ITパスポート試験緊急中止 2014年04月29日
IPA、安全なアプリ開発のための実習式学習ツール「AppGoat」を公開 2011年01月28日