EGセキュアソリューションズ、Webセキュリティを学びたい人向け「BadTodo」を無償公開

イー・ガーディアンのグループ会社であるEGセキュアソリューションズは2月28日、Webアプリケーションの脆弱性を学べる実習用アプリケーション「BadTodo」を無償公開すると発表した。

年々高度化するサイバー攻撃に対し各社対応が求められているなか、セキュリティ担当者含め個々のセキュリティ知識を向上させることが重要になってきている。なかでも脆弱性診断の技術習得は攻撃を防ぐ上で有効的な手段であるものの、座学での知識習得だけでなく、脆弱性を見つける手法や診断ツールを実際に試しながら勘所を養う必要がある。しかし攻撃と同様のことを行う構造上、通常のアプリケーションに対しての実施が難しい。

そこで、サイバーセキュリティ企業として脆弱性診断・セキュリティ教育などを提供している同社は、個人のセキュリティ知識を高めていくための取り組みとして、実際に手を動かしながら脆弱性診断の知識・技術を学ぶ一助となるべく、同社が開発した脆弱性診断実習用Webアプリケーション「BadTodo」を学生や開発者、エンジニアなどの個人学習者向けに無償公開する。

「BadTodo」は、多くの人にとって身近な「ToDoリストアプリ」を題材として作られた、Docker上で使用できる脆弱性診断実習用アプリケーション。脆弱なソースコードの確認はもちろん、学習者が操作して発行されたSQL文をログとして出力することで、SQLインジェクション脆弱性の原理を理解し攻撃パターンを試すためのヒントを得られる。また、実際に攻撃を試すための罠ページ用の区画も用意しており、原理の理解～攻撃の試行までできるより学習に適した「やられサイト」とするべく様々な工夫を凝らして作成されている。

典型的なパターンからスキャナでは発見が難しいものまで様々な脆弱性が自然な形で作り込まれているため、「BadTodo」ひとつで脆弱性診断の基礎から応用まで実践的に学習することができる。

「BadTodo」ダウンロード