最近のやられアプリを試してみた

最近のやられアプリを試してみた

1. 1. 最近のやられアプリ を試してみた @tigerszk OWASP Connect in Tokyo 2018/9/21
2. 2. 自己紹介 Shun Suzaki(洲崎 俊) 三井物産セキュアディレクション株式会社に所属 ITイベントの参加・開催や日々の脆弱性検証を ライフワークとする「とあるセキュリティエンジニア」 Twitter: とある診断員@tigerszk • ISOG-J WG1 • Burp Suite Japan User Group • OWASP JAPAN Promotion Team • IT勉強会「#ssmjp」運営メンバー I‘M A CERTAIN PENTESTER! 公開スライド:http://www.slideshare.net/zaki4649/ Blog:http://tigerszk.hatenablog.com/
3. 3. やられアプリとは？ • 予め脆弱性が作りこんであるアプリケーション のこと • こんな用途に使えます • セキュリティを学習したい • 攻撃のデモなどにつかいたい • スキャンツールやWAFなどの評価したい • 実際に攻撃をしてみて学習したい
4. 4. 有名処だと • OWASP BWA (The Broken Web Applications) https://www.owasp.org/index.php/OWASP_Br oken_Web_Applications_Project
5. 5. どんな感じなの？ • やられアプリの詰め合わせセット • Ubuntuの仮想マシンイメージを配布 • 以下6つのカテゴリに分かれる37個のアプリで構成 1. Training Applications （トレーニングアプリケーション） 2. Realistic, Intentionally Vulnerable Applications （現実的な意図的に脆弱なアプリケーション） 3. Old Versions of Real Applications （現実のアプリケーションにおける古いバージョン） 4. Applications for Testing Tools （ツールテストのためのアプリケーション） 5. Demonstration Pages / Small Applications （デモページ、小さいアプリケーション） 6. OWASP Demonstration Applications （OWASP デモ・アプリケーション） 詳しいまとめ OWASP BWA (The Broken Web Applications) とは？ https://www.pupha.net/archives/827/
6. 6. やられアプリリンク集 • OWASP VWAD（Vulnerable Web Applications Deirectory Project） https://www.owasp.org/index.php/OWASP _Vulnerable_Web_Applications_Directory_P roject • 現在利用可能なやられアプリケーションの まとめ • 以下のようなカテゴリごとにまとめられている • オンライン • オフライン • VMやISO配布のもの
7. 7. BWAに搭載されているアプリは ちょっと古めのものが多い？
8. 8. というわけで、今回は 割と最近のやられアプリを紹介
9. 9. OWASP Juice Shop • OWASP Juice Shop https://github.com/bkimminich/juice-shop
10. 10. 特徴 • Node.js、Express、AngularJSで開発された モダンなやられアプリ • OWASP Top 10を中心としたWebアプリケー ションの脆弱性に対応 • 課題を解きながら脆弱性を学べる • 課題ごとにFlagを出力するCTFモードなども
11. 11. めっちゃ簡単に試せる • Heroku上で超に簡単デプロイ（デモします） • Dockerイメージを配布 docker pull bkimminich/juice-shop docker run --rm -p 3000:3000 bkimminich/juice-shop • Vagrantでもイメージを配布している
12. 12. こんな感じで課題をといてく
13. 13. しっかりしたドキュメントも • Pwning OWASP Juice Shop https://bkimminich.gitbooks.io/pwning-owasp- juice-shop/
14. 14. 他にはこんなのもあるよ • OWASP NodeGoat Node.jsを使用して開発されたやられWebアプリ Server Side JS InjectionやNoSQLInjectionなども試せる https://github.com/OWASP/NodeGoat • Webseclab Yahooが公開したスキャナテスト用のやられWebアプリ Go言語で開発されている https://github.com/yahoo/webseclab • Firing Range Googleが公開したスキャナテスト用のやられWebアプリ 様々なXSSのテストパターンが実装されている Google App Engineアプリケーションとしてデプロイできる https://github.com/google/firing-range
15. 15. 国産のも沢山あるよ • BadLibrary はせがわようすけさんがNode.jsで開発されたやられアプリ https://github.com/SecureSkyTechnology/BadLibrary • Bad SNS にしむねあさんがRuby on Railsで開発されたやられアプリ https://github.com/nishimunea/badsns はるぷさんが開発された連携するやられAndroidアプリもある https://github.com/harupu/badsns-android • 箱庭BadStore Burp Suite ExtenderでBadStoreを再現 Burp SuiteさえあればOKなやられアプリ https://github.com/ankokuty/HakoniwaBadStore • EasyBuggy メモリリーク、デッドロック、無限ループなどのバグも実装された Javaで開発されたやられアプリ Spring Boot、Kotlin、 Django 2で開発されたものもリリースされています https://github.com/k-tamura/easybuggy/
16. 16. まとめ さあ、試してみたくなったかな？ 色々なやられアプリを試して、セキュリティ を学んでみよう！ あと、やられアプリを、実際に自分で作って みるのも勉強になりますよ！