OWASP BWAを用いた学生および職員向けトレーニングを聞いたメモ

OWASP BWAを用いた学生および職員向けトレーニング

セキュリティのトレーニング

OWASP BWAとは

セキュリティ学習用な脆弱なアプリを含むLinuxがベースとなったVMイメージ (速攻乗っ取られる→絶対にグローバルな環境に置くな)

BWAの対象者

幅広く使える

  • アプリケーションのセキュリティを学びたい方
  • リスク評価技術を手動で試したい
  • 自動化ツールをテストをしたい
  • ソースコードがセキュアか調べたい
  • WEBに対する攻撃を監視したい
  • WAFがちゃんと動いてるか調べたい

BWAの中身

脆弱なもとから用意されているので、環境構築に力を奪われない。

  • Training applicatio
    • 脆弱性ごとにコースが用意されており、問題をときながら学べる
  • Reakustic, Interntionally Vulnerable application
    • 多種多様な脆弱性が意図的に作り込まれたWEBアプリ
  • Old Versions of Real Applicetion
  • Applicetion for Testing Tools
  • Demaonstration Pages/Small Applications
  • Owasp Demostration application

実験を行った

対象と目的

  • 東工大生(修士
    • 基礎力を応用する実践的な場を提供
  • 東工大CERT
    • 仕組みを知り、業務での判断力を向上

方法

  • 座学と演習を回して勉強
  • 演習は少なくなりがち
    • めんどくさい → BWA使おう

具体的な攻撃シナリオの作成手順の条件

  • 受講者が無理なく準備し、参加できる演習環境
  • 現実の環境に置き換えて想像可能な演習環境
    • 相手の想像力に頼りすぎない
    • 最後まで導いてあげる
  • できるだけ受講者が自力で溶ける問題の粒度/何度
    • モチベに直接関わってくる
  • 解き進めると自然と攻撃シナリオが理解できる問題構成
    • 誘導問題みたいに、簡単な問題から難しい問題へ

複雑な工程を受講者にどう理解してもらうか

複雑にな工程を分解する

  • 例:XSSの場合
    • クッキー情報を確認し、変更
      • ブラウザを利用したクッキーの操作をする
    • 脆弱性の確認と故意の情報漏洩
      • 検索フォームを利用し、クッキー−情報を送信
    • 攻撃コードの作成/設置
      • クッキー情報を送信するURLを含んだリクエストの送信

大学のインシデント

  • ログとかを監視してる企業
    • 金払ってないくせに、めっちゃインシデントが出てしまう
    • めっちゃ汚れてる・杜撰な組織
      • 人の移り変わりがあまりにも多い

環境の構築

  • BWAはちゃんと入った
  • Firefoxも入れてきた
  • Apacheなどは演習当時に別途準備してもらった
  • USBとかに入れておくとトラブル時に役に立つ
  • BWAのBVA(ver 1.2, 1.1.1)は起動しない

メモ