みなさんお久しぶりです。

最近は授業でインタプリンタ系の言語のコード読んだりとか色々としていたため、ブログ書いたりしていなかったのですがせっかく終わったのだからやったことの紹介だけでもしようかと思います。

OWASP BrokenWebApplicationをご存知か？

最近わたしは、BrokenWebApplication Projectという脆弱なWebアプリケーションを使用して脆弱性に対して実際に攻撃を行う練習というのをしていました。https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project

これをやり始めた理由としては、将来ペンテスターや脆弱性診断士といった事を目指す上でこれまで知識として脆弱性の勉強はしていました。けど実際に攻撃をするとなると技術が全く追いついていないという問題があったため技術力をつける特訓としてはじめました。

今回やってみたのは、OWASP BWAの中に収録されているWebGoatというサイトを使用しました。難易度的にtrainingなので自分にぴったしというのと、他の収録サイトよりも解説がちゃんとされているため進めやすいため選びました。

全部やった感想としては、正直言ってやや難しかったです。知識的には知っている事がほとんどではありましたが、どこに脆弱性があるのか、どうやって攻撃するのかと言った部分でどこに注目すれば良いのかというのがわからず解説を少しでも見ると分かるのに解けない…という感じでした。

解説はWebGoat自体にFlash形式で答えがあるのですが、解説が少ないためこちらのサイトを参考にしながら進めていきました。

https://tuonilabs.wordpress.com/tag/silent-transactions-attack/

WebGoat終わったので、次はOWASP Juice Shopをやっていきます！