安全な脆弱性の作り方 - 葉っぱ日記

この記事は 「脆弱性"&'<<>\ Advent Calendar 2016」16日目の記事です。具体的な脆弱性の話でなくてすみません。いろいろコードを書いていると、安全に脆弱性を発生させたくなるときがあります。って書くとさっぱり意味がわからないと思いますが、セキュリティの講義のための演習環境とかそういうやつです。 受講生自身の手でWebアプリケーションの脆弱性を探してもらうような演習では、検査対象となる脆弱性を含むWebアプリケーションを用意する必要があります。こういった「脆弱なWebアプリケーション」は例えば Broken Web Applications Project のようなものを代表にいくつかのものがありますが、これらはUIが英語であったり、あまりにもメジャーすぎて受講生も触っている可能性があったりと、場合によっては利用が難しいことがあります。特に、単一のWebサーバに対して複

[dmutaguchi]

早々に他の参加者のパスワードを変更するやつや、ログインすると強制ログアウトする罠を仕込むやつ、演習に参加する必要ないんじゃないかな…

[sudo_vi]

575

[Jxck]

もはや戦ってる相手が俺たちと違うw

[side_tana]

"これだけ頑張って安全に配慮して脆弱性を作っているにも関わらず、ちょっとしたバグを利用して Masato Kinugawa さんにサーバ上で電卓を立ち上げられてしまうことがあったり" ヒョエ

[sho]

〆の段落で「ふふっ」てなった

[stealthinu]

CTFの環境作る人とかって脆弱性は作り込まないといけないけど他の人に悪影響与えるような動きはしちゃだめとか、すごく大変そうだな、と思ってた。やっぱ大変らしい。

[sugyan]

「実装上無理がない限りは脆弱性として積極的に取り込んでいきます」ｗｗ

[katsyoshi]

ほうほう

[cubed-l]

演習用は気を遣いますね

[sora_h]

おもしろい