情報処理推進機構(IPA)は3月10日、「脆弱性体験学習ツール AppGoatウェブアプリケーション学習版」に、新たに5タイプの脆弱性と学習テーマ13件、より実践的に脆弱性を発見するための演習環境などを追加し、Webサイトで公開した。
脆弱性体験学習ツール「AppGoat」は、脆弱性を作りこまない手法を実践的に習得するIPAが提供するツール。2011年11月から公開しており、「ウェブアプリケーション学習版」と「デスクトップアプリケーション版」の2種類がある。今回のウェブアプリケーション学習版への機能強化は、国内Webサイトの現状や利用者のニーズを踏まえて実施された。
新たに追加された5タイプの脆弱性には、「OSコマンド・インジェクション」「HTTPヘッダ・インジェクション」「セッション管理の不備」などを含み、Webアプリケーションのセキュア開発において押さえておくべき基礎的なものとなる。
それに加え、学習テーマが13件追加されたことで、合計9タイプの脆弱性に対して、全28の学習テーマが用意されることになる。
このほか、「仮に脆弱性の仕組みや修正方法を机上で理解しても、具体的なソースコードに対する修正方法が分からず、対策が行えない」という受講者からの要望を踏まえ、脆弱性を修正できる演習環境を追加した。これにより、脆弱性の発見から修正まで一連の学習が可能だ。
また、従来のウェブアプリケーション学習版は「○○という脆弱性の発見方法は△△だ」といった一対の関係で検出方法を学ぶものであったが、現実の検出では、どこにどのような脆弱性が潜んでいるのかを探索する必要があり、差異が生じていた。そこで、複数の脆弱性を埋め込んだ検査専用の演習環境も追加されている。