ニュース

“脆弱性体験”は本物だった? IPAの脆弱性体験学習ツール「AppGoat」に4件の脆弱性

 独立行政法人情報処理推進機構(IPA)は9日、脆弱性体験学習ツール「AppGoat」の最新バージョン「V3.0.1」を公開した。4件の脆弱性を修正しており、最新版へのアップデートが推奨されている。

 脆弱性の影響を受けるのは、AppGoatのバージョン「3.0」「2.0」。AppGoatでは、脆弱性の発見演習と修正演習を通じて、脆弱性を作り込まないウェブサイトの構築手法を、個人学習と集合学習により実践的に習得できる。

 発見された脆弱性のうち、リモートからAppGoat上で任意の操作を実行される可能性のある認証不備の脆弱性「CVE-2017-2101」は、共通脆弱性評価システムCVSS v3のスコアが7.3。細工されたウェブページにアクセスすることで任意のコードを実行される可能性があるDNSリバインディングの脆弱性「CVE-2017-2100」は、CVSS v3のスコアが6.3。細工されたウェブページにアクセスすることで、任意のコードを実行される可能性がある脆弱性「CVE-2017-2099」は、CVSS v3のスコアが6.3。ログインした状態のユーザーが細工されたページにアクセスした場合に意図しない操作をさせられる可能性があるクロスサイトリクエストフォージェリ(CSRF)の脆弱性「CVE-2017-2102」は、CVSS v3のスコアが5.0。

 このうち、認証制御、CSRFといった脆弱性は、AppGoat自体で学べるものとなっている。