ニュース

IPA、脆弱性体験学習ツール「AppGoat」の最新版「V3.0」、集合学習モード追加

 独立行政法人情報処理推進機構(IPA)は10月31日、脆弱性体験学習ツール「AppGoat」の最新版「V3.0」の提供を開始した。AppGoatでは、脆弱性の発見演習と修正演習を通じて、脆弱性を作り込まないウェブサイトの構築手法を実践的に習得できるようになっている。

 ウェブアプリケーションの脆弱性が学習できる「ウェブアプリケーション学習版(個人学習モード)」の新バージョンに加え、今回新たに、1つのAppGoatに対してネットワーク越しにアクセスし、複数人の同時学習が可能な「ウェブアプリケーション学習版(集合学習モード)」の提供が開始された。

 学習対象の脆弱性については、新たにバッファオーバーフロー、クリックジャッキング、メールヘッダーインジェクションの3種類が追加され、悪用の可能性が高い6つの脆弱性を「基礎編」、それ以外を「応用編」として学習可能となった。

 基礎編では、クロスサイトスクリプティング、SQLインジェクション、クロスサイトリクエストフォージェリ、ディレクトリトラバーサル、OSコマンドインジェクション、セッション管理の不備が学べる。応用編では追加された3種類に加え、認証制御や認可制御の欠落、HTTPヘッダーインジェクション、エラーメッセージからの情報漏えいが学習できる。

 ウェブアプリケーション学習版(集合学習モード)は、集合学習の受講者がアプリのインストール不要でAppGoatが利用可能。また、受講者ごとの学習の進捗確認や習熟度合いを把握したり、受講者のレベルや講義目的に応じた脆弱性の選択・設定が可能なフィルター機能が管理者向けに提供される。

 このほか、サーバーやデスクトップ向けアプリケーションの脆弱性が学習できる「デスクトップアプリケーション版」が提供されており、こちらでは、バッファオーバーフロー、ディレクトリトラバーサル、リソースリーク、整数オーバーフロー、フォーマット文字列、認証・認可、その他の脆弱性(ジャンクションへの考慮不足の問題など)の7つが学習できる。

 なお、AppGoatの実行には、ランタイム「Microsoft Visual C++ 2012 再配布可能パッケージ(x86)」のインストールが必要となる。また、集合学習モードの利用には、IPAへメールによる利用申請を行い、有効期限設定ファイルの発行を受ける必要がある。