本日内々定者「セキュリティ」勉強会にいってきました

男女比約20:1というおぞましい現実をみましたが、

勉強会自体は内定先のセキュリティ部署のそれぞれの役割を聞くことができて、

自分のやりたいことが実現できる部署が明確になったことも含め、どのようなセキュリティ対策を行っているかを知ることができて非常に有意義でした

今日はその勉強会の中ででてきたWebGoatという
脆弱性攻撃練習アプリケーション「WebGoat」をダウンロードしてみました

WebGoatとは、わざと脆弱性もたせたwebアプリケーションと動作環境を提供してくれるものであり、XSSやSQLインジェクション、CSRFなどのwebアプリケーションの脆弱性を実際に手を動かしながら体験できるものです。

導入にあたって、全て英語だったので日本語で簡単にまとめてみようと思います。

ここからWebGoat-OWASP_Standard-5.2.zipをダウンロードし、展開する

Windowsの場合

1. 展開したディレクトリの中の"webgoat.bat"をダブルクリック
2. http://localhost/WebGoat/attackにアクセス("W"と"G"は大文字)

OS Xの場合

1. 展開したディレクトリの内"webgoat.sh"の10行目の"1.5を"1.6"に変更して保存
2. 動作環境のスタート/ストップはターミナルより
   

   sh webgoat.sh start80
   sh webgoat.sh stop

   sh webgoat.sh start8080
   sh webgoat.sh stop



3. 80番ポートでスタートした場合はhttp://127.0.0.1/WebGoat/attack
   8080番ポートでスタートした場合はhttp://127.0.0.1:8080/WebGoat/attack
   

Linuxの場合

1. 展開したディレクトリの内"webgoat.sh"の17,19,23行目の"1.5を"1.6"に変更して保存
2. OS Xのスタート/ストップ方法と同じ

これからこれでちょくちょく遊んでみよう☝ ՞ਊ ՞)☝