ハックミー
ハックしちゃってください。→ http://tepppei.com/hackme/
お仲間に、この間作ったPHP_WAF(PHPのスクリプト内でセキュリティ対策を行うもの)をどっかに挙げてハックさせろ。と言われ、結構面白そうなので、やってみることにしました。どうせなので、脆弱なコードと脆弱なコードにPHP_WAFの対策を行った場合の二つのアプリを公開したいと思います。
脆弱なコードでは
- Cross site scripting
- NULL Byte Attac
- HTTP Response Splitting
- Directory traversal
の脆弱性を試すことが出来ます。
PHP_WAFについてはこちら。http://d.hatena.ne.jp/cybert/20060831/1157031516 簡単に説明すると、パラメータ毎に対策を行うのではなく、全部のパラメータに良く知られたWebアプリの攻撃を防御することによって、開発の負担を減らそうと言う趣旨のスクリプトです。
一応ログは取っています、ログ取得の目的は勉強になりそうな攻撃手法があれば学ぼうという考えからです。脆弱性の勉強とかにもなるかもしれません、しかしハックOKなのはWebアプリのみです、ネットワークやネットワーク機器、Webサーバやその他のソフトにハッキング行為は行わないで下さい。