Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

最近のやられアプリを試してみた

9.517 Aufrufe

Veröffentlicht am

9/21に開催したOWASP Connect in Tokyoにて登壇した時の資料です。

Veröffentlicht in: Technologie
  • Als Erste(r) kommentieren

最近のやられアプリを試してみた

  1. 1. 最近のやられアプリ を試してみた @tigerszk OWASP Connect in Tokyo 2018/9/21
  2. 2. 自己紹介 Shun Suzaki(洲崎 俊) 三井物産セキュアディレクション株式会社に所属 ITイベントの参加・開催や日々の脆弱性検証を ライフワークとする「とあるセキュリティエンジニア」 Twitter: とある診断員@tigerszk • ISOG-J WG1 • Burp Suite Japan User Group • OWASP JAPAN Promotion Team • IT勉強会「#ssmjp」運営メンバー I‘M A CERTAIN PENTESTER! 公開スライド:http://www.slideshare.net/zaki4649/ Blog:http://tigerszk.hatenablog.com/
  3. 3. やられアプリとは? • 予め脆弱性が作りこんであるアプリケーション のこと • こんな用途に使えます • セキュリティを学習したい • 攻撃のデモなどにつかいたい • スキャンツールやWAFなどの評価したい • 実際に攻撃をしてみて学習したい
  4. 4. 有名処だと • OWASP BWA (The Broken Web Applications) https://www.owasp.org/index.php/OWASP_Br oken_Web_Applications_Project
  5. 5. どんな感じなの? • やられアプリの詰め合わせセット • Ubuntuの仮想マシンイメージを配布 • 以下6つのカテゴリに分かれる37個のアプリで構成 1. Training Applications (トレーニングアプリケーション) 2. Realistic, Intentionally Vulnerable Applications (現実的な意図的に脆弱なアプリケーション) 3. Old Versions of Real Applications (現実のアプリケーションにおける古いバージョン) 4. Applications for Testing Tools (ツールテストのためのアプリケーション) 5. Demonstration Pages / Small Applications (デモページ、小さいアプリケーション) 6. OWASP Demonstration Applications (OWASP デモ・アプリケーション) 詳しいまとめ OWASP BWA (The Broken Web Applications) とは? https://www.pupha.net/archives/827/
  6. 6. やられアプリリンク集 • OWASP VWAD(Vulnerable Web Applications Deirectory Project) https://www.owasp.org/index.php/OWASP _Vulnerable_Web_Applications_Directory_P roject • 現在利用可能なやられアプリケーションの まとめ • 以下のようなカテゴリごとにまとめられている • オンライン • オフライン • VMやISO配布のもの
  7. 7. BWAに搭載されているアプリは ちょっと古めのものが多い?
  8. 8. というわけで、今回は 割と最近のやられアプリを紹介
  9. 9. OWASP Juice Shop • OWASP Juice Shop https://github.com/bkimminich/juice-shop
  10. 10. 特徴 • Node.js、Express、AngularJSで開発された モダンなやられアプリ • OWASP Top 10を中心としたWebアプリケー ションの脆弱性に対応 • 課題を解きながら脆弱性を学べる • 課題ごとにFlagを出力するCTFモードなども
  11. 11. めっちゃ簡単に試せる • Heroku上で超に簡単デプロイ(デモします) • Dockerイメージを配布 docker pull bkimminich/juice-shop docker run --rm -p 3000:3000 bkimminich/juice-shop • Vagrantでもイメージを配布している
  12. 12. こんな感じで課題をといてく
  13. 13. しっかりしたドキュメントも • Pwning OWASP Juice Shop https://bkimminich.gitbooks.io/pwning-owasp- juice-shop/
  14. 14. 他にはこんなのもあるよ • OWASP NodeGoat Node.jsを使用して開発されたやられWebアプリ Server Side JS InjectionやNoSQLInjectionなども試せる https://github.com/OWASP/NodeGoat • Webseclab Yahooが公開したスキャナテスト用のやられWebアプリ Go言語で開発されている https://github.com/yahoo/webseclab • Firing Range Googleが公開したスキャナテスト用のやられWebアプリ 様々なXSSのテストパターンが実装されている Google App Engineアプリケーションとしてデプロイできる https://github.com/google/firing-range
  15. 15. 国産のも沢山あるよ • BadLibrary はせがわようすけさんがNode.jsで開発されたやられアプリ https://github.com/SecureSkyTechnology/BadLibrary • Bad SNS にしむねあさんがRuby on Railsで開発されたやられアプリ https://github.com/nishimunea/badsns はるぷさんが開発された連携するやられAndroidアプリもある https://github.com/harupu/badsns-android • 箱庭BadStore Burp Suite ExtenderでBadStoreを再現 Burp SuiteさえあればOKなやられアプリ https://github.com/ankokuty/HakoniwaBadStore • EasyBuggy メモリリーク、デッドロック、無限ループなどのバグも実装された Javaで開発されたやられアプリ Spring Boot、Kotlin、 Django 2で開発されたものもリリースされています https://github.com/k-tamura/easybuggy/
  16. 16. まとめ さあ、試してみたくなったかな? 色々なやられアプリを試して、セキュリティ を学んでみよう! あと、やられアプリを、実際に自分で作って みるのも勉強になりますよ!

×