情報セキュリティ企業が“脆弱性だらけのWebアプリ”無償公開 実習用の題材に

WAF開発を手掛けるEGセキュアソリューションズ（東京都港区）は2月28日、Webアプリケーションの脆弱性について学べる実習用アプリケーション「BadTodo」を無償公開した。同アプリは多くの脆弱性を含んでおり、実際に攻撃したりソースコードを確認したりして実践的に学習できるとしている。 BadTodoは脆弱性診断実習用のアプリ。情報セキュリティの専門家であり同社CTOの徳丸浩さんが制作した。Webブラウザ上で動くToDoリストアプリとして動作するが、情報処理推進機構（IPA）の「IPA ウェブ健康診断仕様」や国際Webセキュリティ標準機構の「OWASP Top 10」で紹介されている脆弱性を網羅的に含む、脆弱性だらけのアプリになっている。 EGセキュアソリューションズによると、BadTodoには各種脆弱性を自然な形で組み込んでおり、脆弱性スキャンで見つかりにくい項目も含んでいるという。 徳

[ockeghem]

紹介ありがとうございます。脆弱性の種類が多く、できるだけ自然な形で混入させているところがポイントです。脆弱性診断を学びたい個人向けに公開するものです

[uunfo]

「同社CTOの徳丸浩さんが制作した」大事なポイントなのだから最初に書いて欲しい

[nakex1]

GitHubでライセンスを見ると「非営利目的の個人のみ利用できます」となっていて，営利目的での利用は要連絡とのこと。

[oshishosan]

安心しろ、こんなの序の口な内製システム（）なんざいくらでもあるから(白目)

[defiant]

うーむ、徳丸さん相変わらずすごいなあ

[deep_one]

「徳丸浩さんが制作した」／「BadTodoには各種脆弱性を自然な形で組み込んでおり、脆弱性スキャンで見つかりにくい項目も含んでいるという」食べ超的なものが思い浮かぶ文章。「たしかに天然ものに近い味わいね」

[fubar_foo]

昔からあるOWASPのweb goatの発展系みたいなものなのかな。

[satosssi]

ほうほうほ

[hatest]

ドキッ！脆弱性だらけのアプリ大会！ ～ ポロリ(情報漏洩)もあるよ ～

[mitsuyashi19]

研修に使えそう

[karkwind]

これ、面白そう

[k-tanaka99]

これは良さそうだな。

[kasahannra]

後で読む

[taruhachi]

伝説のJavaScriptクライアント認証があるか？

[eagleyama]

診断AIを管理監督するために

[stack00]

勉強にもなるし面白そう。

[sakidatsumono]

さわりたいw

[xlc]

記事タイトルがうまい。

[makun2]

“情報セキュリティ企業が“脆弱性だらけのWebアプリ”無償公開”

[hkanemat]

good job

[pmint]

脆弱性を取り上げるのがセキュリティ笑

[charonbing9]

脆弱性のデパートやぁ～

[ryouchi]

ockeghemさん作の脆弱性診実習用アプリ（通称「やられサイト」）Bad Todo List 。ローカル環境でも使えそう。Bad Todo Listを利用するためには、会員登録時にアイコン画像を指定する必要があるらしい。

[htnmiki]

”脆弱性を網羅的に含む、脆弱性だらけのアプリ”

[duckt]

やらかし系の記事かと思った。改めて見ると確かにダブルクォーテーションが。

[Shisama]

ありがとうございます！やりたい。“BadTodoは脆弱性診断実習用のアプリ。情報セキュリティの専門家であり同社CTOの徳丸浩さんが制作した。”

[nmcli]

ありがたい