今年はWebに本腰入れて取り組もうかと思います。能書き垂れるぐらいはできるんですが、要領よく脆弱性を見つけるという作業に慣れていないので、とりあえずOVWAD（OWASP Vulnerable Web Applications Directory）で紹介されているやられサイトを、レガシーなものからモダンなものまで、片っ端からやっていこうと思います。せっかくなので挑戦の様子を記事にします。

owasp.org

記念すべき第1戦目はWackoPickoです。

github.com

一応「対戦」と銘打っていますが、手を付けた時点で優勢、成長があったら勝ち、やり切ったら圧勝ということにしようと思います。

対戦記録

Googleスプレッドシートにまとめています。一応簡易レポートの体にしていますが、あくまで備忘目的なので本職の方とか怒らないでほしいです。

docs.google.com

Keep

• hakrawler悪くなかった
• WebShell便利
  • Web診断なんだから必要ない
• Gospiderがlocalhostに対して使えない問題を解決した
  • /etc/hostsにドメイン書いたが、よく考えたらIPアドレス指定でよかったのでは

Problem

• OSコマンドインジェクション、ちゃんと刺せなかった
• nameのSQLi見つけられなかった
• adminのセッションが単なるインクリメントになってるの指摘しそびれた
  • どう考えたって危ない
• サンプルページのuserid変えられるの、指摘しなかったがparameter manipulationという類のものだっ
  • 少なくとも、このアプリに関してはそんなに致命的じゃない気もする
• クーポンコードとロジック不備見つけられなかった
  • クーポンコードどうやって見つけんだよ
    • リポ見たら、calender.phpをひたすら1日ずつちゃんと見ていけば出会えた（出会ってた）みたい
• FlashフォームにXSSがあったっぽい 平成
• 診断リストのフォーマットがどうもしっくりこない
  • 脆弱性の分類がMECEでない

Try

• 事前分析をTBHM AppSecの6つの質問に沿ってやってみる
• 診断リスト、改造する（脆弱性の列は参考ぐらいに思っててもいいかも）
• 今のうちから自動化を真面目に考えたほうがよさそう
  • ブラックボックスな自動化はあんまりしたくない
    • Burpのactive scanとか（パケット見れば一律同じものを投げているのかもしれないが）
      • 文明の利器は使うべき？
      • 診断屋さんはどうしているんだろうか？
  • Nucleiをいい感じに自動診断させる術はないか（レポート出してくれるから）

……

対戦ありがとうございました。