9/21に開催したOWASP Connect in Tokyoにて登壇した時の資料です。

1. 最近のやられアプリ
を試してみた
@tigerszk
OWASP Connect in Tokyo
2018/9/21

2. 自己紹介
Shun Suzaki(洲崎 俊)
三井物産セキュアディレクション株式会社に所属
ITイベントの参加・開催や日々の脆弱性検証を
ライフワークとする「とあるセキュリティエンジニア」
Twitter:
とある診断員@tigerszk
• ISOG-J WG1
• Burp Suite Japan User Group
• OWASP JAPAN Promotion Team
• IT勉強会「#ssmjp」運営メンバー
I‘M A CERTAIN
PENTESTER!
公開スライド:http://www.slideshare.net/zaki4649/
Blog:http://tigerszk.hatenablog.com/

3. やられアプリとは？
• 予め脆弱性が作りこんであるアプリケーション
のこと
• こんな用途に使えます
• セキュリティを学習したい
• 攻撃のデモなどにつかいたい
• スキャンツールやWAFなどの評価したい
• 実際に攻撃をしてみて学習したい

4. 有名処だと
• OWASP BWA (The Broken Web Applications)
https://www.owasp.org/index.php/OWASP_Br
oken_Web_Applications_Project

5. どんな感じなの？
• やられアプリの詰め合わせセット
• Ubuntuの仮想マシンイメージを配布
• 以下6つのカテゴリに分かれる37個のアプリで構成
1. Training Applications
（トレーニングアプリケーション）
2. Realistic, Intentionally Vulnerable Applications
（現実的な意図的に脆弱なアプリケーション）
3. Old Versions of Real Applications
（現実のアプリケーションにおける古いバージョン）
4. Applications for Testing Tools
（ツールテストのためのアプリケーション）
5. Demonstration Pages / Small Applications
（デモページ、小さいアプリケーション）
6. OWASP Demonstration Applications
（OWASP デモ・アプリケーション）
詳しいまとめ
OWASP BWA (The Broken Web Applications) とは？
https://www.pupha.net/archives/827/

6. やられアプリリンク集
• OWASP VWAD（Vulnerable Web
Applications Deirectory Project）
https://www.owasp.org/index.php/OWASP
_Vulnerable_Web_Applications_Directory_P
roject
• 現在利用可能なやられアプリケーションの
まとめ
• 以下のようなカテゴリごとにまとめられている
• オンライン
• オフライン
• VMやISO配布のもの

7. BWAに搭載されているアプリは
ちょっと古めのものが多い？

8. というわけで、今回は
割と最近のやられアプリを紹介

9. OWASP Juice Shop
• OWASP Juice Shop
https://github.com/bkimminich/juice-shop

10. 特徴
• Node.js、Express、AngularJSで開発された
モダンなやられアプリ
• OWASP Top 10を中心としたWebアプリケー
ションの脆弱性に対応
• 課題を解きながら脆弱性を学べる
• 課題ごとにFlagを出力するCTFモードなども

11. めっちゃ簡単に試せる
• Heroku上で超に簡単デプロイ（デモします）
• Dockerイメージを配布
docker pull bkimminich/juice-shop
docker run --rm -p 3000:3000 bkimminich/juice-shop
• Vagrantでもイメージを配布している

12. こんな感じで課題をといてく

13. しっかりしたドキュメントも
• Pwning OWASP Juice Shop
https://bkimminich.gitbooks.io/pwning-owasp-
juice-shop/

14. 他にはこんなのもあるよ
• OWASP NodeGoat
Node.jsを使用して開発されたやられWebアプリ
Server Side JS InjectionやNoSQLInjectionなども試せる
https://github.com/OWASP/NodeGoat
• Webseclab
Yahooが公開したスキャナテスト用のやられWebアプリ
Go言語で開発されている
https://github.com/yahoo/webseclab
• Firing Range
Googleが公開したスキャナテスト用のやられWebアプリ
様々なXSSのテストパターンが実装されている
Google App Engineアプリケーションとしてデプロイできる
https://github.com/google/firing-range

15. 国産のも沢山あるよ
• BadLibrary
はせがわようすけさんがNode.jsで開発されたやられアプリ
https://github.com/SecureSkyTechnology/BadLibrary
• Bad SNS
にしむねあさんがRuby on Railsで開発されたやられアプリ
https://github.com/nishimunea/badsns
はるぷさんが開発された連携するやられAndroidアプリもある
https://github.com/harupu/badsns-android
• 箱庭BadStore
Burp Suite ExtenderでBadStoreを再現
Burp SuiteさえあればOKなやられアプリ
https://github.com/ankokuty/HakoniwaBadStore
• EasyBuggy
メモリリーク、デッドロック、無限ループなどのバグも実装された
Javaで開発されたやられアプリ
Spring Boot、Kotlin、 Django 2で開発されたものもリリースされています
https://github.com/k-tamura/easybuggy/

16. まとめ
さあ、試してみたくなったかな？
色々なやられアプリを試して、セキュリティ
を学んでみよう！
あと、やられアプリを、実際に自分で作って
みるのも勉強になりますよ！