「ウェブアプリケーションの脆弱性を学ぶツール」の版間の差分
提供: セキュリティ
(ページの作成:「ウェブアプリケーションの脆弱性を学ぶには、実際に自分が体験するのが一番良い方法でしょう。話を聞くだけではなく、...」) |
(相違点なし)
|
2015年12月13日 (日) 01:02時点における最新版
ウェブアプリケーションの脆弱性を学ぶには、実際に自分が体験するのが一番良い方法でしょう。話を聞くだけではなく、やはり体験するべきです。体験学習する環境を IPA や OWASP などが提供してくれます。「ウェブアプリケーションの脆弱性を学ぶツール」のツールは、脆弱性診断をするためのツールではなく、脆弱性環境を学ぶための道具、という意味のツールです。
読み方
- 脆弱性
- ぜいじゃくせい
- AppGoat
- あっぷごーと
目次
概要
ウェブアプリケーションを開発しているウェブエンジニアは、脆弱性対策をして、サービスを提供しなければなりません。問題のあるプログラムは、ウェブアプリケーションの利用者の不利益につながります。 例えば、
- 認証情報や個人情報の漏えい
- 脆弱性のあるサーバを利用した、さらなる攻撃
といったことがおきます。
ウェブアプリケーションの脆弱性を体験する環境は、1から作る必要はありません。 IPA や OWASP などのセキュリティの問題を考え続けている団体が提供してくれています。
ダウンロードして、動かす環境を整備すれば、すぐに試すことができます。
ウェブアプリケーションの脆弱性の学習用の環境
IPA 脆弱性体験学習ツール AppGoat
IPA 脆弱性体験学習ツール AppGoatは、ウェブアプリケーションの脆弱性を体系的に学べるツールです。
OWASP BWA(Broken Web Applications)
OWASP が提供している OWASP BWA は、意図的に脆弱性をもたせたウェブアプリケーションを複数導入した Ubuntu の仮想マシンイメージです。
BWAは、以下のような人を対象としています。
- ウェブアプリケーションのセキュリティを学びたい
- 手動での評価技術をテストしたい
- 脆弱性診断のツールをテストしたい
- ソースコード分析ツールをテストしたい
- ウェブの攻撃を観察したい
- WAF などを試したい
Metasploitable
Metasploitableは、ウェブアプリケーションの脆弱性だけの学習ではありませんが、ウェブアプリケーションの脆弱性も学べる環境を提供してくれます。