最近のやられアプリを试してみた
- 1. 最近のやられアプリ を試してみた @tigerszk OWASP Connect in Tokyo 2018/9/21
- 2. 自己紹介 Shun Suzaki(洲崎 俊) 三井物産セキュアディレクション株式会社に所属 ITイベントの参加?開催や日々の脆弱性検証を ライフワークとする「とあるセキュリティエンジニア」 Twitter: とある診断員@tigerszk ? ISOG-J WG1 ? Burp Suite Japan User Group ? OWASP JAPAN Promotion Team ? IT勉強会「#ssmjp」運営メンバー I‘M A CERTAIN PENTESTER! 公開スライド:http://www.slideshare.net/zaki4649/ Blog:http://tigerszk.hatenablog.com/
- 3. やられアプリとは? ? 予め脆弱性が作りこんであるアプリケーション のこと ? こんな用途に使えます ? セキュリティを学習したい ? 攻撃のデモなどにつかいたい ? スキャンツールやWAFなどの評価したい ? 実際に攻撃をしてみて学習したい
- 4. 有名処だと ? OWASP BWA (The Broken Web Applications) https://www.owasp.org/index.php/OWASP_Br oken_Web_Applications_Project
- 5. どんな感じなの? ? やられアプリの詰め合わせセット ? Ubuntuの仮想マシンイメージを配布 ? 以下6つのカテゴリに分かれる37個のアプリで構成 1. Training Applications (トレーニングアプリケーション) 2. Realistic, Intentionally Vulnerable Applications (現実的な意図的に脆弱なアプリケーション) 3. Old Versions of Real Applications (現実のアプリケーションにおける古いバージョン) 4. Applications for Testing Tools (ツールテストのためのアプリケーション) 5. Demonstration Pages / Small Applications (デモページ、小さいアプリケーション) 6. OWASP Demonstration Applications (OWASP デモ?アプリケーション) 詳しいまとめ OWASP BWA (The Broken Web Applications) とは? https://www.pupha.net/archives/827/
- 6. やられアプリリンク集 ? OWASP VWAD(Vulnerable Web Applications Deirectory Project) https://www.owasp.org/index.php/OWASP _Vulnerable_Web_Applications_Directory_P roject ? 現在利用可能なやられアプリケーションの まとめ ? 以下のようなカテゴリごとにまとめられている ? オンライン ? オフライン ? VMやISO配布のもの
- 9. OWASP Juice Shop ? OWASP Juice Shop https://github.com/bkimminich/juice-shop
- 10. 特徴 ? Node.js、Express、AngularJSで開発された モダンなやられアプリ ? OWASP Top 10を中心としたWebアプリケー ションの脆弱性に対応 ? 課題を解きながら脆弱性を学べる ? 課題ごとにFlagを出力するCTFモードなども
- 11. めっちゃ簡単に試せる ? Heroku上で超に簡単デプロイ(デモします) ? Dockerイメージを配布 docker pull bkimminich/juice-shop docker run --rm -p 3000:3000 bkimminich/juice-shop ? Vagrantでもイメージを配布している
- 12. こんな感じで课题をといてく
- 13. しっかりしたドキュメントも ? Pwning OWASP Juice Shop https://bkimminich.gitbooks.io/pwning-owasp- juice-shop/
- 14. 他にはこんなのもあるよ ? OWASP NodeGoat Node.jsを使用して開発されたやられWebアプリ Server Side JS InjectionやNoSQLInjectionなども試せる https://github.com/OWASP/NodeGoat ? Webseclab Yahooが公開したスキャナテスト用のやられWebアプリ Go言語で開発されている https://github.com/yahoo/webseclab ? Firing Range Googleが公開したスキャナテスト用のやられWebアプリ 様々なXSSのテストパターンが実装されている Google App Engineアプリケーションとしてデプロイできる https://github.com/google/firing-range
- 15. 国産のも沢山あるよ ? BadLibrary はせがわようすけさんがNode.jsで開発されたやられアプリ https://github.com/SecureSkyTechnology/BadLibrary ? Bad SNS にしむねあさんがRuby on Railsで開発されたやられアプリ https://github.com/nishimunea/badsns はるぷさんが開発された連携するやられAndroidアプリもある https://github.com/harupu/badsns-android ? 箱庭BadStore Burp Suite ExtenderでBadStoreを再現 Burp SuiteさえあればOKなやられアプリ https://github.com/ankokuty/HakoniwaBadStore ? EasyBuggy メモリリーク、デッドロック、無限ループなどのバグも実装された Javaで開発されたやられアプリ Spring Boot、Kotlin、 Django 2で開発されたものもリリースされています https://github.com/k-tamura/easybuggy/