AppGoat 利用イメージ

別紙
脆弱性体験学習ツール AppGoat の概要
AppGoat の利用イメージと学習の進め方を以下に記します。利用者は、IPA またはベクターのウェブ
サイトから AppGoat をダウンロードし、自身の PC で学習を進めることができます。AppGoat は、
「ウ
ェブアプリケーション版」と「サーバ・デスクトップ版」に分かれており、複数の学習テーマから構成
されています。利用者は、自身の学習目的に合わせて、任意の学習テーマを選択できます。
■AppGoat 利用イメージ
AppGoat(ウェブアプリケーション版)
ダウンロード
学習テーマ
学習
ウェブサイト運営者
IPAウェブサイト
ベクターウェブサイト
AppGoat(サーバ・デスクトップアプリケーション版)
学習テーマ
学習
ソフトウェア製品開発者
図 1.AppGoat の利用イメージ
学習テーマ
テーマ
概要説明
脆弱性
原理解説
演習
脆弱性の
修正
影響解説
解答・修
正例確認
※赤字はアプリケーションを使ったステージ
※赤枠は、サーバ・デスクトップ演習環境のみに存在するステージ
図 2.学習の流れ
-1-
対策方法
解説
学習テーマ一覧
AppGoat は、「ウェブアプリケーション版」15 学習テーマ、「サーバ・デスクトップアプリケーショ
ン版」13 学習テーマから構成されています。
表１．ウェブアプリケーションテーマ一覧
クロスサイト・スクリプティング
クロスサイト・スクリプティングとは
アンケートページの改ざん（反射型）
掲示板に埋め込まれるスクリプト（格納型）
表 2.サーバ・デスクトップテーマ一覧
バッファオーバフロー
バッファオーバーフローとは
アーカイブソフトの異常終了
FTP プロキシソフトの異常終了
ウェブサーバの異常終了（ヒープ領域）
ディレクトリ・トラバーサル
ディレクトリ・トラバーサルによる情報
漏えい
リソースリーク
プログラミングエラーによるリソースリ
ーク
整数オーバーフロー
整数オーバーフローによる異常終了
フォーマット文字列
フォーマット文字列による異常終了
認証・認可
本人認証の不備
権限管理の不備によるファイルの漏えい
その他
ジャンクションへの考慮不足の問題
TOCTOU による検証の迂回
暗号の不適切な利用
入力情報の漏えい（反射型）
ウェブページの改ざん（DOM ベース）
不完全な対策
SQL インジェクション
SQL インジェクションとは
不正なログイン（文字列リテラル）
情報漏えい（数値リテラル）
他テーブル情報の漏えい（数値リテラル）
データベースの改ざん（数値リテラル）
CSRF
CSRF（クロスサイト・リクエスト・フォージ
ェリ）とは
意図しない命令の実行
不完全な対策
その他
エラーメッセージからの情報漏えい
-2-
演習のイメージ
演習のイメージを下記に示します。
演習
脆 弱性 の発 見
にチャ レンジ！
脆 弱性 を発 見
できた ！
対策方法の解説
対策方法を確認
しましょう
図 3.演習のイメージ
-3-