HOME >> 情報セキュリティ >> 脆弱性対策 >> 脆弱性体験学習ツール AppGoat >> ツール概要
脆弱性体験学習ツール AppGoat
2011年1月27日 掲載
ツールの概要
利用者は、IPAまたはベクターのウェブサイトからAppGoatをダウンロードし、自身のPCで学習を進めることができます。AppGoatは、「ウェブアプリケーション版」と「サーバ・デスクトップアプリケーション版」に分かれており、複数の学習テーマから構成されています。利用者は、自身の学習目的に合わせて、任意の学習テーマを選択できます。
学習の流れ
学習テーマは、「ウェブアプリケーション版」15テーマ、「サーバ・デスクトップアプリケーション版」13テーマで構成されています。1つの学習テーマは、ステージと呼ばれる学習単位で構成されおり、下記の流れでナビゲートされます。学習テーマおよびステージは、利用者で任意に選択することができます。
※赤字はアプリケーションを使ったステージ
※赤枠は、サーバ・デスクトップ版のみに存在するステージ
技能レベル別の利用モデル
 |
[これからセキュリティの学習を始める方] @ウェブアプリケーション版から学習を始めてみましょう。 Aナビゲーションに従って、解説を読み、理解を深めながら進めましょう。 B演習はヒントを見ながら進め、脆弱性の影響を目視で体験してみましょう。 |
|---|---|
|
|
 |
[開発経験者/セキュリティエンジニア] @補強したいポイントに学習テーマを絞って学習を進めましょう。 Aヒントなしで、演習ステージに挑戦してみましょう。 Bソースコードレベルで問題点の指摘ができることを目標にしてみましょう。 |
|
|
 |
[熟練エンジニア] @脆弱性の修正にチャレンジしてみましょう。 Aツールを使った脆弱性の検証手法を学習してみましょう。 |
学習テーマ一覧
<ウェブアプリケーション実習環境 学習テーマ一覧>
- クロスサイト・スクリプティング
- SQLインジェクション
- CSRF(クロスサイト・リクエスト・フォージェリ)
- その他
| 1. | クロスサイト・スクリプティングとは |
|---|---|
| 2. | アンケートページの改ざん(反射型) |
| 3. | 掲示板に埋め込まれるスクリプト(格納型) |
| 4. | 入力情報の漏えい(反射型) |
| 5. | ウェブページの改ざん(DOMベース) |
| 6. | 不完全な対策 |
| 7. | SQLインジェクションとは |
|---|---|
| 8. | 不正なログイン(文字列リテラル) |
| 9. | 情報漏えい(数値リテラル) |
| 10. | 他テーブル情報の漏えい(数値リテラル) |
| 11. | データベースの改ざん(数値リテラル) |
| 12. | CSRF(クロスサイト・リクエスト・フォージェリ)とは |
|---|---|
| 13. | 意図しない命令の実行 |
| 14. | 不完全な対策 |
| 15. | エラーメッセージからの情報漏えい |
|---|
<サーバ・デスクトップアプリケーション実習環境 学習テーマ一覧>
- バッファオーバフロー
- ディレクトリ・トラバーサル
- リソースリーク
- 整数オーバーフロー
- フォーマット文字列
- 認証・認可
- その他
| 1. | バッファオーバーフローとは |
|---|---|
| 2. | アーカイブソフトの異常終了 |
| 3. | FTPプロキシソフトの異常終了 |
| 4. | ウェブサーバの異常終了(ヒープ領域) |
| 5. | ディレクトリ・トラバーサルによる情報漏えい |
|---|
| 6. | プログラミングエラーによるリソースリーク |
|---|
| 7. | 整数オーバーフローによる異常終了 |
|---|
| 8. | フォーマット文字列による異常終了 |
|---|
| 9. | 本人認証の不備 |
|---|---|
| 10. | 権限管理の不備によるファイルの漏えい |
| 11. | ジャンクションへの考慮不足の問題 |
|---|---|
| 12. | TOCTOUによる検証の迂回 |
| 13. | 暗号の不適切な利用 |
問い合わせ・アンケート受付窓口
E-mail:
更新履歴
| 2011年1月27日 | 本ページを公開 |
|---|