« 世界のスパム送信量が大幅減少 | トップページ | クラウド・コンピューティング時代の情報セキュリティって・・・ »

2011年1月31日 (月)

安全なアプリケーション開発技法を学習できるツール「AppGoat」

IPAセキュリティセンターから「安全なアプリケーション開発技法を学習できるツール「AppGoat」が公開されています。

ベクターのサイトからも、ダウンロードができるようです。

このツールは、以下のような学習ができるようです。

※ おもしろそうですね。しかし、タイトルの「突いてみますか、脆弱性」というのは、ちょっと・・・。

■■概要■■
脆弱性体験学習ツール「AppGoat」は、開発経験の浅い初心者から上級者までが利用できる、脆弱性の発見方法、対策について実習形式で体系的に学べるツールです。利用者は、学習テーマ毎に用意された演習問題に対して、埋め込まれた脆弱性の発見、プログラミング上の問題点の把握、対策手法の学習を対話的に実施できます。詳細は、「ツール概要」をご確認ください。

■■学習テーマ一覧■■
<ウェブアプリケーション実習環境 学習テーマ一覧>
●クロスサイト・スクリプティング
1. クロスサイト・スクリプティングとは
2. アンケートページの改ざん(反射型)
3. 掲示板に埋め込まれるスクリプト(格納型)
4. 入力情報の漏えい(反射型)
5. ウェブページの改ざん(DOMベース)
6. 不完全な対策

●SQLインジェクション
7. SQLインジェクションとは
8. 不正なログイン(文字列リテラル)
9. 情報漏えい(数値リテラル)
10. 他テーブル情報の漏えい(数値リテラル)
11. データベースの改ざん(数値リテラル)

●CSRF(クロスサイト・リクエスト・フォージェリ)
12. CSRF(クロスサイト・リクエスト・フォージェリ)とは
13. 意図しない命令の実行
14. 不完全な対策

●その他
15. エラーメッセージからの情報漏えい

<サーバ・デスクトップアプリケーション実習環境 学習テーマ一覧>
●バッファオーバフロー
1. バッファオーバーフローとは
2. アーカイブソフトの異常終了
3. FTPプロキシソフトの異常終了
4. ウェブサーバの異常終了(ヒープ領域)

●ディレクトリ・トラバーサル
5. ディレクトリ・トラバーサルによる情報漏えい

●リソースリーク
6. プログラミングエラーによるリソースリーク

●整数オーバーフロー
7. 整数オーバーフローによる異常終了

●フォーマット文字列
8. フォーマット文字列による異常終了

●認証・認可
9. 本人認証の不備
10. 権限管理の不備によるファイルの漏えい

●その他
11. ジャンクションへの考慮不足の問題
12. TOCTOUによる検証の迂回
13. 暗号の不適切な利用

※ 報告書は、こちら

|

« 世界のスパム送信量が大幅減少 | トップページ | クラウド・コンピューティング時代の情報セキュリティって・・・ »

おすすめサイト」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/38644286

この記事へのトラックバック一覧です: 安全なアプリケーション開発技法を学習できるツール「AppGoat」:

« 世界のスパム送信量が大幅減少 | トップページ | クラウド・コンピューティング時代の情報セキュリティって・・・ »