元エンジニア&ウェブ担当者がAppGoatを体験!クロスサイト・スクリプティング編
更新日 : 2024年10月28日
独立行政法人情報処理推進機構(IPA)が提供する脆弱性体験学習ツール AppGoatについて、元セキュリティエンジニアの社員とウェブ担当者(エンジニア経験なし)が触ってみましたので、その所感をご紹介します。
脆弱性体験学習ツール AppGoatとは
脆弱性体験学習ツール「AppGoat」は、IPAが提供するウェブアプリケーション脆弱性の体験学習ツールです。ウェブアプリケーション開発者やウェブサイト管理者向けに、クロスサイト・スクリプティングやSQLインジェクション、OSコマンド・インジェクションなどの脆弱性について体系的に学ぶことができます。テキストで概要と対策方法を学び、実際の事象を体験しながら、対処方法の実装も確認できます。
利用方法
ダウンロードは無料で、所定のフォームより申請することで利用可能です。詳しくはIPA公式ウェブサイトをご確認ください。
脆弱性体験学習ツール AppGoat(独立行政法人情報処理推進機構(IPA))
クロスサイト・スクリプティングをAppGoatで学習してみた
まずは、クロスサイト・スクリプティングを学習してみます。クロスサイト・スクリプティングとは、SNSや掲示板サイトなど、ユーザーが入力操作できるウェブサイトに組み込まれたスクリプトが実行されると、個人情報の入力画面に移行したり、意図しない投稿が拡散したりなどの被害が発生します。
AppGoatでは脆弱性ごとにレベルをわけて学習メニューが用意されています。まずは、Level1で脆弱性の概要をブラウザ上で学びます。概要を学んだあとは、どのようにクロスサイト・スクリプティングを発見するかの手法を学び、実際に演習用のフォームで実施できます。その後、対策方法を学び、演習で対策を行い、対策後の挙動を確認できました。
触ってみた感想
学習コンテンツの内容についてはコラムで公開できないため、実際に体験してみた担当者ごとの感想をご紹介します。
エンジニア経験あり
- 主な経験・スキル
-
サーバーの監視運用、ファイアウォールやWAFなどネットワークセキュリティ製品の構築・運用
-
- 触ってみた感想
- クロスサイト・スクリプティングについて詳しく知らない方や、名前は知っているけれど具体的な内容を理解していない方が、実際に攻撃手法とその結果を体験できそうでよさそうと感じた。
- 活用できそうなシーン
- クロスサイト・スクリプティングの脅威を体系的に学ぶことで、セキュリティ製品を扱う際や導入する際に必要な知識の一部となるため、セキュリティ担当者として必要な知識の一環としても役立ちそう。
- セキュリティ対策製品の導入を上申する際に、セキュリティに関する知識が少ない方(特に経営層など)に対して、この攻撃手法の存在とその危険性を説明する際に活用できそう。
- (セキュリティ事故が発生した場合など)上層部や第三者機関、監査担当者へ報告する際に、具体的な攻撃手法の解説で役立ちそう。
エンジニア経験なし
- 主な経験・スキル
- ブログ記事などウェブコンテンツの作成、HTML・CSSなどの記述
- 触ってみた感想
- ウェブサイトの運営上、気を付けなければならないセキュリティ脅威を実際に体験できて、よりセキュリティ意識が高まった。
- ある程度のリテラシーがないとAppGoatの操作は難しいと感じた。ウェブ担当者のレベルにもよるが、知見がある人と一緒に操作することがスムーズな学習につながるのではと感じた。
- 活用できそうなこと
- ウェブサイトで利用するアプリケーションやSaaS製品の選定にあたり、機能要件だけでなく、セキュリティの観点で考えられるよう意識づけられた。
まとめ
今回は、元セキュリティエンジニアとウェブ担当者と、それぞれ知識レベルが異なる社員がAppGoatでクロスサイト・スクリプティングについて学習した感想をご紹介しました。クロスサイト・スクリプティングのLevel1では、攻撃の手法や動作、挙動を確認しながら学習することができました。セキュリティ担当者やウェブアプリケーションの開発者、ウェブサイトの担当者、それぞれ立場は違えど活用できそうです。
今回の記事では触れていませんが、Level2以降ではクロスサイト・スクリプティングを対処するためにどのようにコードを修正するのか、脆弱性がどこにあるかを確認する方法など、開発者や運用者向けに技術的な学習内容が用意されています。クロスサイト・スクリプティングについて学習したい、体験したいなど興味のある方は触ってみてはいかがでしょうか。
JBサービス株式会社では、サイバー攻撃のテクニック・ツール・ノウハウなどに精通した、認定ホワイトハッカー(CEH:Certified Ethical Hacker)を中心としたセキュリティの専門家チームがSecurity Operation Center(SOC)機能を備えています。セキュリティ製品の導入や運用でお困りごとがございましたら、JBサービス株式会社までご相談ください。