AppGoat 3 の仮想ブラウザに阿部寛のホームページを表示させてみた.
ARAI Daisenseiこんにちは.
あらい大先生です.
先日,穐山先生から「1回生向けのブログを書いてみてはどうか?」というコメントをいただいたので,立命館大学 情報理工学部 セキュリティ・ネットワークコース (以降では SN コース と呼びます) の授業を紹介します.
SN実験の概要
SN コースでは,セキュリティ・ネットワーク学実験 (以降では SN実験 と呼びます) が開講されています.
SN実験には1~3の3種類があり,それぞれの内容は以下のとおりです.
- 論理回路 と ボードコンピュータ
- センサネットワーク と TCP/IPネットワーク
- システムセキュリティ と ワイヤレス通信
今回のブログでは,SN実験3のシステムセキュリティ実験の Web アプリケーション 脆弱性実習 を少しだけ紹介します.
とはいえ,ただ紹介するだけでは面白くないので,TA の休憩中に遊んでいたことも合わせて紹介します.
実際に阿部寛のHPを表示させてみた.
この実習では,AppGoat 3 という意図的に脆弱性が含まれた Web アプリケーション に対して疑似的なサイバー攻撃を行うことで,脆弱性が生じる原因や,その対策を学びます.
AppGoat 3 では,クロスサイトスクリプティングを最初に学びます.
このテーマの Level 1 の 演習(発見) では,図1の登録画面の名前に対して,とあるデータを入力することで,図2のように名前の欄に棒線を引けることを確認します.
(実際の AppGoat には脆弱性を検証するための手順が記載されていますが,不正アクセス行為の禁止等に関する法律 の 不正アクセス行為を助長する行為の禁止 に抵触したら困るので,本ブログでは手順を削除しています)
しかし,私は「名前の欄に棒線が表示されるだけでは面白みに欠けている」と思いました.
また,計算機演習室 A の Wi-Fi の調子が悪かったせいか,AppGoat からのレスポンスが遅かったり,Zoom が途切れたりしていました.
そのため,私は「この検証を応用して AppGoat の仮想ブラウザから阿部寛のホームページへアクセスして回線速度を評価したい」と思うようになりました.
実験の手順は単純で,入力するデータを,阿部寛のホームページへのリンクを作成する a タグ へ変更するだけです.
入力した結果と,そのリンクへアクセスした結果をそれぞれ図3,4に示します.
無事に阿部寛のホームページが表示されました.
真面目に測定したわけではありませんが,AppGoat へアクセスするときよりは高速でした.
この仕組みを学びたい方は SN コースで!
登録内容を文字列として表示する Web ページ なのに,なぜ 棒線を表示させたり,阿部寛のホームページ へのリンク を載せたりすることができたのでしょうか?
もちろん、AppGoat 3 で解説されています.
興味がある方は,ぜひとも AppGoat 3 をダウンロードしてみましょう.
また、SN実験3のシステムセキュリティ実験では、Cプログラム脆弱性実習 や セキュリティインシデント対応演習 も行います.
1, 2回生で学んだ プログラミング や セキュリティ の知識を最大限に活用できる内容であり,非常に面白い実験です.
「コンピュータの仕組みを徹底的に理解したい!」という方は,ぜひ SN コース へお越しください.
