脆弱性スキャンのツールを知ると、当然それを使ってみたくなるのが人の性と言うものである。
ただ、実際にサービス提供しているサイトに対してスキャンを行うと不正アクセスとされてしまい、下手するとサツのお世話になりかねない。
そこで登場するのがやられサイトである。
世の中にはいくつかやられサイトを提供するサービスがある。
悪いことをする際は、やられサイトを使って安全に行いたい。
1.BadStore
Webアプリケーションの脆弱性だけではなく、OSやWebサーバなどの脆弱性も含まれている。
ISOイメージで配布されていて、Linux(Trinux)とWebサーバ(Apache)がすでにインストールされている。
やられWebアプリケーションも設定済みの状態で入っているので、面倒なインストール作業がほとんどないのがメリット。
デメリットとしては、公式サイトが閉鎖されてしまい、公開されていない事
バックアップを保存してあるので、興味のある方はどうぞ。
BadStoreバックアップ
2.WebGoat
国内では「OWASP Top Ten Project」などで有名なOWASP(The Open Web Application Security Project)が提供しているやられWebアプリケーション。
JavaとTomcatをインストールした環境があれば、WindowsやUNIXなどで動作。
[入手先]
https://owasp.org/www-project-webgoat/
[バックアップ]
https://www.dropbox.com/sh/fiafhx0ycyv8m4q/AAAL80-s8Pkx0GfSiGKi-Gzza?dl=0
3.Hacme Casino
以前はMcAfeeが提供していたのだが、終了した模様。
基本的にはWindows環境で動くらしい。
[バックアップ]
https://www.dropbox.com/sh/2u9hfla7imgzg0i/AADKF9Mrg1mcA2y3zYP0u2rpa?dl=0
※Hacme Casinoのバックアップは汚染されている可能性あり。最悪マルウェアに感染しても構わない環境でお願いします。
【参考】
https://www.atmarkit.co.jp/ait/articles/0910/23/news112.html