情報処理推進機構：情報セキュリティ：脆弱性対策：脆弱性体験学習ツール AppGoat：FAQ

AppGoatとは何ですか？
AppGoatは無償で使用できるのですか？
AppGoatでどのような学習が行えますか？
AppGoatが動作する環境を教えてください。
AppGoatが起動しないのですが？
AppGoatに接続できないのですが？
Windows ファイアウォールの警告が表示されるのですが。
インストール時に表示されるランタイムをインストールしない場合、どのような制限がありますか？
画面の表示が文字化けしてしまいます。
ローカルのHTTPプロキシを通した環境での実習はできますか？

AppGoatとは何ですか？

学習教材と演習環境をセットにし、脆弱性の検証手法から原理、影響、対策までを演習しながら学習できる国内で初めての体験型学習ツールです。「ウェブアプリケーション版」と「サーバ・デスクトップアプリケーション版」の2種類を用意しています。

IPAやベクターのウェブサイトからダウンロードし、利用者自身のPCにインストールすることで利用できます。利用者は、ツールの学習テーマ毎に用意された演習問題に対して、埋め込まれた脆弱性の発見、プログラミング上の問題点の把握、対策手法の学習を対話的に実施できます。

本ツールは、下記の特徴があります。

28の学習テーマを用意
脆弱性の種別や対策目的ごとに分類した28の学習テーマを用意し、脆弱性や対策方法について幅広く学習することができます。利用者は学習目的に沿ったテーマを任意に選択することができます。

7種類のアプリケーションに対応
演習問題として、ウェブアプリケーションに加えてサーバアプリケーションやデスクトップアプリケーション等の7種類のアプリケーションを用意しており、様々な分野の開発者や学生にとって有効に活用できます。

利用者レベルに応じた学習教材の充実
脆弱性を突いた攻撃が成功する仕組みから実際の対策手法まで説明図を交えて学習できる教材を備えており、これから脆弱性を学習する学生などの初級者でも理解しやすい内容で構成しています。
　さらに、実際の開発現場で適用できるように利用者がソースコードを修正できる環境を用意しており、プログラミング技術に長けた利用者は論理的な理解に加え、具体的な対策方法を学ぶことができます。

ページトップへ

AppGoatは無償で使用できるのですか？

AppGoatは無償で提供しています。利用を希望される場合は、利用許諾合意書の内容に同意いただき、ダウンロードして利用することが出来ます。

ページトップへ

AppGoatでどのような学習が行えますか？

AppGoatは、下記の流れで学習を行います。

※赤字はアプリケーションを使ったステージ
※赤枠は、サーバ・デスクトップ演習環境のみに存在するステージ

学習テーマは、「ウェブアプリケーション版」15、「サーバ・デスクトップアプリケーション版」13から構成されています。利用者は、学習したいテーマを選択し、学習することができます。

＜ウェブアプリケーション実習環境学習テーマ一覧＞

クロスサイト・スクリプティング

1.	クロスサイト・スクリプティングとは
2.	アンケートページの改ざん（反射型）
3.	掲示板に埋め込まれるスクリプト（格納型）
4.	入力情報の漏えい（反射型)
5.	ウェブページの改ざん（DOMベース）
6.	不完全な対策

SQLインジェクション

7.	SQLインジェクションとは
8.	不正なログイン（文字列リテラル）
9.	情報漏えい（数値リテラル)
10.	他テーブル情報の漏えい（数値リテラル）
11.	データベースの改ざん（数値リテラル）

CSRF（クロスサイト・リクエスト・フォージェリ）

12.	CSRF（クロスサイト・リクエスト・フォージェリ）とは
13.	意図しない命令の実行
14.	不完全な対策

その他

15.	エラーメッセージからの情報漏えい

＜サーバ・デスクトップアプリケーション実習環境学習テーマ一覧＞

バッファオーバフロー

1.	バッファオーバーフローとは
2.	アーカイブソフトの異常終了
3.	FTPプロキシソフトの異常終了
4.	ウェブサーバの異常終了（ヒープ領域）

ディレクトリ・トラバーサル

5.	ディレクトリ・トラバーサルによる情報漏えい

リソースリーク

6.	プログラミングエラーによるリソースリーク

整数オーバーフロー

7.	整数オーバーフローによる異常終了

フォーマット文字列

8.	フォーマット文字列による異常終了

認証・認可

9.	本人認証の不備
10.	権限管理の不備によるファイルの漏えい

その他

11.	ジャンクションへの考慮不足の問題
12.	TOCTOUによる検証の迂回
13.	暗号の不適切な利用

ページトップへ

AppGoatが動作する環境を教えてください。

下記になります。

OS	Microsoft Windows XP SP3 Microsoft Windows Vista SP2 Windows 7 (32bit版)
CPU	OSの動作に支障がないこと
メモリ	OSの動作に支障がないこと
HDD	100 MBの空き容量
モニタ	解像度1,024×768ピクセル以上
ブラウザ	Internet Explorer 7またはFirefox 3.6以上
その他	Adobe Reader 9 以上がインストールされていること

ページトップへ

AppGoatが起動しないのですが？

以下のことを確認してください。

別のウェブサーバが起動していませんか？
AppGoatはポート80番でApache Webサーバを起動します。インストール済みのApache WebサーバやIISがポート80番を使用している場合、いったん終了させてからAppGoatを起動してください。

他のプログラムがポート80番を使用していませんか？
インストールされているプログラムの中で、ポート80番を使用しているものがある場合は、そのプログラムを終了させるか、別のポート番号に変更してからAppGoatを起動してください。ポート80番を使用するプログラムにはSkypeなどがあります。

Apache Webサーバが異常終了していませんか？
Apache Webサーバが正常に終了できていなかった場合、AppGoatが起動しないことがあります。Apache Webサーバが起動していない状態で『C:\IPATool\Framework\Apache2.2\logs\httpd.pid』というファイルが存在する場合には、そのファイルを削除してからAppGoatを起動してください。

インストールフォルダのパスに全角文字(日本語)や半角スペース、半角記号などが含まれていませんか？
全角文字（日本語）や半角スペース、半角記号などを含むパスに、AppGoatをインストールした場合は動作しないことがあります。全角文字や半角スペース、半角記号などを含まないパスにインストールして実行してください。（例：C:\）

ページトップへ

AppGoatに接続できないのですが？

hostsファイルでlocalhostが自身以外のIPアドレスに関連づけられているとき、AppGoatが起動していてもブラウザが接続できないことがあります。localhostを127.0.0.1に関連づけてください。hostsファイルは以下のパスにあります。

C:\WINDOWS\system32\drivers\etc

ページトップへ

Windows ファイアウォールの警告が表示されるのですが。

Windows ファイアウォールにより警告が表示されることがあります。以下の図のような警告が表示された場合、ブロックしてください。ブロックしてもAppGoatの動作に影響はありません。

Windows XP、Windows Vistaの場合（※画像はXPのものです）
「ブロックする(K)」をクリックします。

Windows7の場合
「キャンセル」をクリックします。

ページトップへ

インストール時に表示されるランタイムをインストールしない場合、どのような制限がありますか？

ランタイムをインストールしない場合、「サーバ・デスクトップアプリケーション版」において一部のアプリケーションが起動できないことがあります。これにより、サーバ・デスクトップアプリケーション実習環境における一部の演習ができない可能性があります。

ページトップへ

画面の表示が文字化けしてしまいます。

ブラウザの文字エンコーディング設定を以下の手順で設定してください。

Internet Explorerの場合
1. ①メニューバーの「表示(V)」を選択します。
2. ②「エンコード(D)」を選択します。
3. ③「自動選択」に設定するか「Unicode(UTF-8)」に設定してください。
Firefoxの場合
1. ①メニューバーの「表示(V)」を選択します。
2. ②「文字エンコーディング(C)」を選択します。
3. ③「自動判別」から日本語に設定するか「Unicode(UTF-8)」に設定してください。