Submit Search
Upload
最近のやられアプリを試してみた
•
10 likes
•
24,913 views
Z
zaki4649
Follow
9/21に開催したOWASP Connect in Tokyoにて登壇した時の資料です。
Read less
Read more
Technology
Slideshow view
Report
Share
Slideshow view
Report
Share
1 of 16
Recommended
とある診断員とAWS
とある診断員とAWS
zaki4649
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
zaki4649
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
Bapp Storeを調べてみたよ!
Bapp Storeを調べてみたよ!
zaki4649
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
Masakazu Ikeda
CyberChefの使い方(HamaCTF2019 WriteUp編)
CyberChefの使い方(HamaCTF2019 WriteUp編)
Shota Shinogi
Recommended
とある診断員とAWS
とある診断員とAWS
zaki4649
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
zaki4649
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
Bapp Storeを調べてみたよ!
Bapp Storeを調べてみたよ!
zaki4649
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
Masakazu Ikeda
CyberChefの使い方(HamaCTF2019 WriteUp編)
CyberChefの使い方(HamaCTF2019 WriteUp編)
Shota Shinogi
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
zaki4649
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
Sen Ueno
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
Shota Shinogi
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
abend_cve_9999_0001
テスト文字列に「うんこ」と入れるな
テスト文字列に「うんこ」と入れるな
Kentaro Matsui
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!
zaki4649
標的型攻撃からどのように身を守るのか
標的型攻撃からどのように身を守るのか
abend_cve_9999_0001
イエラエセキュリティMeet up 20210820
イエラエセキュリティMeet up 20210820
GMOサイバーセキュリティ byイエラエ株式会社
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた
zaki4649
オブジェクト指向エクササイズのススメ
オブジェクト指向エクササイズのススメ
Yoji Kanno
Python製BDDツールで自動化してみた
Python製BDDツールで自動化してみた
KeijiUehata1
Easybuggy(バグ)の召し上がり方
Easybuggy(バグ)の召し上がり方
広平 田村
外部キー制約に伴うロックの小話
外部キー制約に伴うロックの小話
ichirin2501
「龍が如くスタジオ」のQAエンジニアリング技術を結集した全自動バグ取りシステム
「龍が如くスタジオ」のQAエンジニアリング技術を結集した全自動バグ取りシステム
SEGADevTech
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
Hiroshi Tokumaru
FridaによるAndroidアプリの動的解析とフッキングの基礎
FridaによるAndroidアプリの動的解析とフッキングの基礎
ken_kitahara
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
Hiroshi Tokumaru
ウェブアプリケーションセキュリティ超入門
ウェブアプリケーションセキュリティ超入門
Hiroshi Tokumaru
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景
Tatsuo Kudo
暗号技術の実装と数学
暗号技術の実装と数学
MITSUNARI Shigeo
Let's verify the vulnerability-脆弱性を検証してみよう!-
Let's verify the vulnerability-脆弱性を検証してみよう!-
zaki4649
ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話
zaki4649
More Related Content
What's hot
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
zaki4649
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
Sen Ueno
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
Shota Shinogi
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
abend_cve_9999_0001
テスト文字列に「うんこ」と入れるな
テスト文字列に「うんこ」と入れるな
Kentaro Matsui
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!
zaki4649
標的型攻撃からどのように身を守るのか
標的型攻撃からどのように身を守るのか
abend_cve_9999_0001
イエラエセキュリティMeet up 20210820
イエラエセキュリティMeet up 20210820
GMOサイバーセキュリティ byイエラエ株式会社
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた
zaki4649
オブジェクト指向エクササイズのススメ
オブジェクト指向エクササイズのススメ
Yoji Kanno
Python製BDDツールで自動化してみた
Python製BDDツールで自動化してみた
KeijiUehata1
Easybuggy(バグ)の召し上がり方
Easybuggy(バグ)の召し上がり方
広平 田村
外部キー制約に伴うロックの小話
外部キー制約に伴うロックの小話
ichirin2501
「龍が如くスタジオ」のQAエンジニアリング技術を結集した全自動バグ取りシステム
「龍が如くスタジオ」のQAエンジニアリング技術を結集した全自動バグ取りシステム
SEGADevTech
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
Hiroshi Tokumaru
FridaによるAndroidアプリの動的解析とフッキングの基礎
FridaによるAndroidアプリの動的解析とフッキングの基礎
ken_kitahara
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
Hiroshi Tokumaru
ウェブアプリケーションセキュリティ超入門
ウェブアプリケーションセキュリティ超入門
Hiroshi Tokumaru
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景
Tatsuo Kudo
暗号技術の実装と数学
暗号技術の実装と数学
MITSUNARI Shigeo
What's hot
(20)
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
テスト文字列に「うんこ」と入れるな
テスト文字列に「うんこ」と入れるな
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!
標的型攻撃からどのように身を守るのか
標的型攻撃からどのように身を守るのか
イエラエセキュリティMeet up 20210820
イエラエセキュリティMeet up 20210820
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた
オブジェクト指向エクササイズのススメ
オブジェクト指向エクササイズのススメ
Python製BDDツールで自動化してみた
Python製BDDツールで自動化してみた
Easybuggy(バグ)の召し上がり方
Easybuggy(バグ)の召し上がり方
外部キー制約に伴うロックの小話
外部キー制約に伴うロックの小話
「龍が如くスタジオ」のQAエンジニアリング技術を結集した全自動バグ取りシステム
「龍が如くスタジオ」のQAエンジニアリング技術を結集した全自動バグ取りシステム
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
FridaによるAndroidアプリの動的解析とフッキングの基礎
FridaによるAndroidアプリの動的解析とフッキングの基礎
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブアプリケーションセキュリティ超入門
ウェブアプリケーションセキュリティ超入門
なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景
暗号技術の実装と数学
暗号技術の実装と数学
Similar to 最近のやられアプリを試してみた
Let's verify the vulnerability-脆弱性を検証してみよう!-
Let's verify the vulnerability-脆弱性を検証してみよう!-
zaki4649
ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話
zaki4649
20210415 A Story about Eating a Salmon Shark Meat in a Kitchen Car in Tokyo
20210415 A Story about Eating a Salmon Shark Meat in a Kitchen Car in Tokyo
Typhon 666
20180214 時空魔法で過去に戻れたら ~DevSecOpsがこんなに辛いなんて~
20180214 時空魔法で過去に戻れたら ~DevSecOpsがこんなに辛いなんて~
Typhon 666
20181106_Comparison_Between_JAWS-UG_and_SSMJP_Community_Management
20181106_Comparison_Between_JAWS-UG_and_SSMJP_Community_Management
Typhon 666
20170731 Arukikata! -IT Exhibition walking project-
20170731 Arukikata! -IT Exhibition walking project-
Typhon 666
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会
セキュリティ実践講座 -優しい愛をあなたに-
セキュリティ実践講座 -優しい愛をあなたに-
Masaru Ogura
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
Typhon 666
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 666
SIEMやログ監査で重要な事
SIEMやログ監査で重要な事
hogehuga
20210427_Introducing_X-TechJAWS
20210427_Introducing_X-TechJAWS
Typhon 666
ソフトウェアテストにおける発想支援ツールの活用
ソフトウェアテストにおける発想支援ツールの活用
Akira Ikeda
セキュリティ&プログラミングキャンプに行こう!
セキュリティ&プログラミングキャンプに行こう!
Kenta USAMI
20190306 A Story about Visiting a Sturgeon Farm and Eating Sturgeon in Toyone...
20190306 A Story about Visiting a Sturgeon Farm and Eating Sturgeon in Toyone...
Typhon 666
20140704 VIOPS What endusers actually need
20140704 VIOPS What endusers actually need
Kazuki Ueki
20140208 jaws hokuriku-intro
20140208 jaws hokuriku-intro
Kazuki Ueki
Vuls祭り5 ; 脆弱性トリアージの考え方
Vuls祭り5 ; 脆弱性トリアージの考え方
hogehuga
20140628-developers-io-meetup-sapporo
20140628-developers-io-meetup-sapporo
Kazuki Ueki
セキュリティオペレーション: みんなどんなのつかってるの? @ JANOG38 沖縄
セキュリティオペレーション: みんなどんなのつかってるの? @ JANOG38 沖縄
Yasunari Momoi
Similar to 最近のやられアプリを試してみた
(20)
Let's verify the vulnerability-脆弱性を検証してみよう!-
Let's verify the vulnerability-脆弱性を検証してみよう!-
ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話
20210415 A Story about Eating a Salmon Shark Meat in a Kitchen Car in Tokyo
20210415 A Story about Eating a Salmon Shark Meat in a Kitchen Car in Tokyo
20180214 時空魔法で過去に戻れたら ~DevSecOpsがこんなに辛いなんて~
20180214 時空魔法で過去に戻れたら ~DevSecOpsがこんなに辛いなんて~
20181106_Comparison_Between_JAWS-UG_and_SSMJP_Community_Management
20181106_Comparison_Between_JAWS-UG_and_SSMJP_Community_Management
20170731 Arukikata! -IT Exhibition walking project-
20170731 Arukikata! -IT Exhibition walking project-
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
セキュリティ実践講座 -優しい愛をあなたに-
セキュリティ実践講座 -優しい愛をあなたに-
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
SIEMやログ監査で重要な事
SIEMやログ監査で重要な事
20210427_Introducing_X-TechJAWS
20210427_Introducing_X-TechJAWS
ソフトウェアテストにおける発想支援ツールの活用
ソフトウェアテストにおける発想支援ツールの活用
セキュリティ&プログラミングキャンプに行こう!
セキュリティ&プログラミングキャンプに行こう!
20190306 A Story about Visiting a Sturgeon Farm and Eating Sturgeon in Toyone...
20190306 A Story about Visiting a Sturgeon Farm and Eating Sturgeon in Toyone...
20140704 VIOPS What endusers actually need
20140704 VIOPS What endusers actually need
20140208 jaws hokuriku-intro
20140208 jaws hokuriku-intro
Vuls祭り5 ; 脆弱性トリアージの考え方
Vuls祭り5 ; 脆弱性トリアージの考え方
20140628-developers-io-meetup-sapporo
20140628-developers-io-meetup-sapporo
セキュリティオペレーション: みんなどんなのつかってるの? @ JANOG38 沖縄
セキュリティオペレーション: みんなどんなのつかってるの? @ JANOG38 沖縄
More from zaki4649
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
zaki4649
BurpSuiteの大変な一日
BurpSuiteの大変な一日
zaki4649
Proxy War EPISODEⅡ
Proxy War EPISODEⅡ
zaki4649
Proxy War
Proxy War
zaki4649
とある診断員のSECCONオンライン予選
とある診断員のSECCONオンライン予選
zaki4649
はじめてのWi-Fiクラック
はじめてのWi-Fiクラック
zaki4649
More from zaki4649
(6)
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
BurpSuiteの大変な一日
BurpSuiteの大変な一日
Proxy War EPISODEⅡ
Proxy War EPISODEⅡ
Proxy War
Proxy War
とある診断員のSECCONオンライン予選
とある診断員のSECCONオンライン予選
はじめてのWi-Fiクラック
はじめてのWi-Fiクラック
Recently uploaded
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
atsushi061452
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
CRI Japan, Inc.
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
sn679259
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NTT DATA Technology & Innovation
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
CRI Japan, Inc.
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Toru Tamaki
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
WSO2
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Hiroshi Tomioka
Recently uploaded
(12)
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
最近のやられアプリを試してみた
1.
最近のやられアプリ を試してみた @tigerszk OWASP Connect in
Tokyo 2018/9/21
2.
自己紹介 Shun Suzaki(洲崎 俊) 三井物産セキュアディレクション株式会社に所属 ITイベントの参加・開催や日々の脆弱性検証を ライフワークとする「とあるセキュリティエンジニア」 Twitter: とある診断員@tigerszk •
ISOG-J WG1 • Burp Suite Japan User Group • OWASP JAPAN Promotion Team • IT勉強会「#ssmjp」運営メンバー I‘M A CERTAIN PENTESTER! 公開スライド:http://www.slideshare.net/zaki4649/ Blog:http://tigerszk.hatenablog.com/
3.
やられアプリとは? • 予め脆弱性が作りこんであるアプリケーション のこと • こんな用途に使えます •
セキュリティを学習したい • 攻撃のデモなどにつかいたい • スキャンツールやWAFなどの評価したい • 実際に攻撃をしてみて学習したい
4.
有名処だと • OWASP BWA
(The Broken Web Applications) https://www.owasp.org/index.php/OWASP_Br oken_Web_Applications_Project
5.
どんな感じなの? • やられアプリの詰め合わせセット • Ubuntuの仮想マシンイメージを配布 •
以下6つのカテゴリに分かれる37個のアプリで構成 1. Training Applications (トレーニングアプリケーション) 2. Realistic, Intentionally Vulnerable Applications (現実的な意図的に脆弱なアプリケーション) 3. Old Versions of Real Applications (現実のアプリケーションにおける古いバージョン) 4. Applications for Testing Tools (ツールテストのためのアプリケーション) 5. Demonstration Pages / Small Applications (デモページ、小さいアプリケーション) 6. OWASP Demonstration Applications (OWASP デモ・アプリケーション) 詳しいまとめ OWASP BWA (The Broken Web Applications) とは? https://www.pupha.net/archives/827/
6.
やられアプリリンク集 • OWASP VWAD(Vulnerable
Web Applications Deirectory Project) https://www.owasp.org/index.php/OWASP _Vulnerable_Web_Applications_Directory_P roject • 現在利用可能なやられアプリケーションの まとめ • 以下のようなカテゴリごとにまとめられている • オンライン • オフライン • VMやISO配布のもの
7.
BWAに搭載されているアプリは ちょっと古めのものが多い?
8.
というわけで、今回は 割と最近のやられアプリを紹介
9.
OWASP Juice Shop •
OWASP Juice Shop https://github.com/bkimminich/juice-shop
10.
特徴 • Node.js、Express、AngularJSで開発された モダンなやられアプリ • OWASP
Top 10を中心としたWebアプリケー ションの脆弱性に対応 • 課題を解きながら脆弱性を学べる • 課題ごとにFlagを出力するCTFモードなども
11.
めっちゃ簡単に試せる • Heroku上で超に簡単デプロイ(デモします) • Dockerイメージを配布 docker
pull bkimminich/juice-shop docker run --rm -p 3000:3000 bkimminich/juice-shop • Vagrantでもイメージを配布している
12.
こんな感じで課題をといてく
13.
しっかりしたドキュメントも • Pwning OWASP
Juice Shop https://bkimminich.gitbooks.io/pwning-owasp- juice-shop/
14.
他にはこんなのもあるよ • OWASP NodeGoat Node.jsを使用して開発されたやられWebアプリ Server
Side JS InjectionやNoSQLInjectionなども試せる https://github.com/OWASP/NodeGoat • Webseclab Yahooが公開したスキャナテスト用のやられWebアプリ Go言語で開発されている https://github.com/yahoo/webseclab • Firing Range Googleが公開したスキャナテスト用のやられWebアプリ 様々なXSSのテストパターンが実装されている Google App Engineアプリケーションとしてデプロイできる https://github.com/google/firing-range
15.
国産のも沢山あるよ • BadLibrary はせがわようすけさんがNode.jsで開発されたやられアプリ https://github.com/SecureSkyTechnology/BadLibrary • Bad
SNS にしむねあさんがRuby on Railsで開発されたやられアプリ https://github.com/nishimunea/badsns はるぷさんが開発された連携するやられAndroidアプリもある https://github.com/harupu/badsns-android • 箱庭BadStore Burp Suite ExtenderでBadStoreを再現 Burp SuiteさえあればOKなやられアプリ https://github.com/ankokuty/HakoniwaBadStore • EasyBuggy メモリリーク、デッドロック、無限ループなどのバグも実装された Javaで開発されたやられアプリ Spring Boot、Kotlin、 Django 2で開発されたものもリリースされています https://github.com/k-tamura/easybuggy/
16.
まとめ さあ、試してみたくなったかな? 色々なやられアプリを試して、セキュリティ を学んでみよう! あと、やられアプリを、実際に自分で作って みるのも勉強になりますよ!