【EGセキュアソリューションズ株式会社】Webセキュリティを学びたい人向けにCTO徳丸浩制作、脆弱性診断実習用Webアプリケーション「BadTodo」を無償公開

この記事は約7分で読めます。
 イー・ガーディアン株式会社(https://www.e-guardian.co.jp/ 東京都港区 代表取締役社長:高谷 康久 以下、「イー・ガーディアン」)のグループ会社であるEGセキュアソリューションズ株式会社(https://www.eg-secure.co.jp/ 東京都港区 代表取締役社長:寺田 剛 以下、「EGセキュアソリューションズ」)はWebアプリケーションの脆弱性を学べる実習用アプリケーション「BadTodo」を無償公開することをお知らせいたします。公開を記念して本日2023年2月28日(火)18時30分より制作者でありEGセキュアソリューションズ取締役CTO徳丸浩によるYouTubeLIVEを実施いたします。「BadTodo」公開の瞬間を視聴者の皆様と共有しながら徳丸によるデモや制作秘話などを披露いたしますのでぜひご視聴ください。
「BadTodo」公開記念YouTube LIVE:https://youtube.com/live/bVzZVw5U29Y?feature=share

 イー・ガーディアングループは、安心・安全なインターネット環境の実現に向け、ネットパトロール、カスタマーサポート、デバッグ、脆弱性診断などネットセキュリティに関わるサービスを一気通貫で提供しております。サイバーセキュリティ企業として脆弱性診断・セキュリティ教育などを提供するEGセキュアソリューションズは、Webアプリ開発者の必読書ともいわれる『体系的に学ぶ 安全なWebアプリケーションの作り方』を著した徳丸浩が取締役CTOを務めており、サービス提供だけでなく、講演・セミナーへの登壇や公式YouTubeチャンネルの運営などを通して広くセキュリティ啓蒙活動を行っております。

 年々高度化するサイバー攻撃に対し各社対応が求められているなか、セキュリティ担当者含め個々のセキュリティ知識を向上させることが重要になってきています。なかでも脆弱性診断の技術習得は攻撃を防ぐ上で有効的な手段であるものの、座学での知識習得だけでなく、脆弱性を見つける手法や診断ツールを実際に試しながら勘所を養う必要があります。しかし攻撃と同様のことを行う構造上、通常のアプリケーションに対して実施することができません。
 そこで、EGセキュアソリューションズは、個人のセキュリティ知識を高めていくための取り組みとして、実際に手を動かしながら脆弱性診断の知識・技術を学んでいただく一助となるべく、徳丸浩本人が開発した脆弱性診断実習用Webアプリケーション「BadTodo」を学生や開発者、エンジニアなどの個人学習者向けに無償公開することとなりました。

■制作者コメント(EGセキュアソリューションズ取締役CTO 徳丸浩)

 このたび、脆弱性診断実習用の「やられサイト」BadTodoを個人向けに無償公開することといたしました。BadTodoは元々拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(SBクリエイティブ)」の付録として作成したものですが、できるだけ多くの方に利用いただけるように、書籍とは切り離して、脆弱性診断を学びたい個人の方向けに公開するものです。
 すでに脆弱性診断を学ぶための知識はネットなどに多く存在していますが、BadTodoは、できるだけ本番のサイトに近い状態であること、また多くの種類の脆弱性を含んでいることを特徴としています。具体的には、IPAが公開している「ウェブ健康診断仕様」記載の13項目全てに対応しており、ウェブ健康診断仕様に沿って学習することができます。その他、OWASP Top 10 2017/2021に記載の新しめの脆弱性にも対応しています。
 ぜひBadTodoを用いて脆弱性診断の実習をいただき、その成果を個人ブログなどにてアウトプットしていただきたいと希望しています。

 EGセキュアソリューションズでは「BadTodo」を教材とした講習会やeラーニングも予定しており、脆弱性診断講座の他、「BadTodo」に含まれる個々の脆弱性に関する解説コンテンツなど、個人での受講はもちろん企業内研修など法人利用も可能なサービスを順次ご用意してまいりますので、ぜひご期待ください。

 今後も、イー・ガーディアングループは、専門性と質の高いサービスを提供し、ミッションである「We Guard All」の実現に向け、人々の生活をより便利に、豊かにするサービス・製品の開発に尽力して参ります。

■公開記念YouTube LIVE概要
日時   :2023年2月28日(火)18時30分開始
動画配信先:公式YouTubeチャンネル「徳丸浩のウェブセキュリティ講座」
      https://youtube.com/live/bVzZVw5U29Y?feature=share

【「BadTodo」について】
「BadTodo」ダウンロードURL:https://github.com/ockeghem/badtodo.git
※ダウンロード開始は2月28日(火)19時30分予定

■特徴
「BadTodo」は、多くの人にとって身近な「ToDoリストアプリ」を題材として作られた、Docker上で使用できる脆弱性診断実習用アプリケーションです。脆弱なソースコードの確認はもちろん、学習者が操作して発行されたSQL文をログとして出力することで、SQLインジェクション脆弱性の原理を理解し攻撃パターンを試すためのヒントを得られます。また、実際に攻撃を試すための罠ページ用の区画も用意しており、原理の理解~攻撃の試行までできるより学習に適した「やられサイト」とするべく様々な工夫を凝らして作成されています。
典型的なパターンからスキャナでは発見が難しいものまで様々な脆弱性が自然な形で作り込まれているため、「BadTodo」ひとつで脆弱性診断の基礎から応用まで実践的に学習することが可能です。

■概要
● Windows、Mac(Intel、Apple Silicone)、Linux環境で動作可能
● LAMP(Linux+APache+MySQL+PHP)で開発された古典的なマルチページアプリケーション
● 豊富な種類の脆弱性が自然な形で作り込まれている
・「IPA ウェブ健康診断仕様」の13種類の脆弱性や「IPA 安全なウェブサイトの作り方」「OWASP Top 10」
 「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」などに掲載されている主要脆弱性を網羅
・脆弱性スキャナでは発見することが難しい診断項目を多く含んでいる。
● Burp Suiteによる実習に最適化(他のツールでの実習も可能)
※原則として非営利目的での個人利用に限りますが、大学などの教育機関、非営利団体等における教育目的での利用をご希望の場合は、お問合せください。

【イー・ガーディアングループ 概要】
1998年設立。2016年に東証一部上場。2022年に東証プライム市場へ移行。イー・ガーディアンはネットパトロール、カスタマーサポート、デバッグ、脆弱性診断などネットセキュリティに関わるサービスを一気通貫で提供する総合ネットセキュリティ企業です。センターは、提携先を含めてグループで国内9都市海外3都市20拠点の業界最大級の体制を誇ります。昨今はFintech・IoT業界への参入やRPA開発による働き方改革への寄与など、時代を捉えるサービス開発に従事し、インターネットの安心・安全を守っております。

■EGセキュアソリューションズ 会社概要
代表者   :代表取締役社長 寺田 剛
所在地   :東京都港区虎ノ門1-2-8 虎ノ門琴平タワー8F
設立    :2008年4月
資本金   :1,000万円(2022年9月末日現在)
業務内容  :1. 情報セキュリティ、情報システムに関する監査、コンサルティング
       2. 情報セキュリティに関する調査、研究、執筆
       3. 情報セキュリティ関連の教育及びコンテンツ制作
       4. セキュリティ製品の開発、販売、サポート
URL    :https://www.eg-secure.co.jp/
 
■イー・ガーディアン株式会社 会社概要
代表者  :代表取締役社長 高谷 康久
所在地  :東京都港区虎ノ門1-2-8 虎ノ門琴平タワー8F         
設立   :1998年5月
資本金  :36,428万円(2022年9月末日現在)
業務内容 :ブログ・SNS・掲示板企画コンサルティング/リアルタイム投稿監視業務/ユーザーサポート業務/
      オンラインゲームカスタマーサポート業務/コンプライアンス対策・風評・トレンド調査業務/
      コミュニティサイト企画・サイト運営代行業務・広告審査代行サービス業務/人材派遣業務
URL   :https://www.e-guardian.co.jp/

タイトルとURLをコピーしました