情報処理推進機構（IPA）は3月10日、「脆弱性体験学習ツール AppGoatウェブアプリケーション学習版」に、新たに5タイプの脆弱性と、学習テーマ13件、およびより実践的に脆弱性を発見するための演習環境などの追加を行い、IPAのWebサイトに公開した。

「脆弱性体験学習ツール AppGoat」は、IPAが提供する、脆弱性を作りこまない手法を実践的に習得するツール。2011年11月から公開されており、「ウェブアプリケーション学習版」と「デスクトップアプリケーション版」がある。

今回の「ウェブアプリケーション学習版」への機能強化は、同機構に多数の届出がされているにもかかわらず、従来未対応だった5タイプ（「OSコマンド・インジェクション」、「HTTPヘッダ・インジェクション」、「セッション管理の不備」など）の脆弱性を追加した。この5タイプの脆弱性に、計13の学習テーマが新しく追加されており、これにより、「ウェブアプリケーション学習版」は合計9タイプの脆弱性に対し、28の学習テーマが揃った。これによって、脆弱性の仕組みや対策を理解し、作りこみやすい脆弱性タイプを網羅的に学習することが可能になっているという。

また、脆弱性対策セミナーの受講者から寄せられる要望の多かった機能として、(1)脆弱性を自ら修正できる演習環境の追加　(2)パターン化された方法に頼らない、より実践的に脆弱性を発見するための演習環境の追加　も行われている。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース