(n)

前回に引き続きDEFCON CTF予選で出題された問題の解説です。
今回も徐々に解き進めていった様子を紹介しています。
問題ファイルも記事中のリンクからダウンロードできるようになっているので
お読みになる方も是非とも読み進めながらチャレンジしてみてくださいね。

記事の最後にはボクが作成した問題が出題されていますので
こちらも是非是非チャレンジください。

ボクのツイッターで時々、ヒントを出そうかと思っていますので
お気軽にフォローしてください。
# 問題に関係のない、どうでもいいつぶやきもあります。
# その辺りのノイズはご勘弁ください。

あ、言い忘れてることがありました。

みなさん、あけましておめでとうございます。

以前に脆弱なWebアプリのテスト環境を紹介しました。
公式サイトを見た感じもっとよさそうなものが存在してました。
Web Security DojoというツールでSun VirtualBoxで動作するイメージによる配布のようです。

サイトの説明では
Tools + Targets = Dojo
だそうで、このイメージには検査用のツールとそれを使うための脆弱な環境が同居しています。
これを道場かどうかというの議論はさておき中身は以下の通りです。

Targets include:
- OWASP’s WebGoat v5.2
- Damn Vulnerable Web App v1.0.6
- Hacme Casino v1.0
- OWASP InsecureWebApp v1.0
- simple stand-alone PHP scripts by Maven Security (including REST and JSON)

Tools:
- Burp Suite (free version) v1.2.01
- w3af v1.1
- OWASP Skavengerv0.6.2a
- OWASP Dirbuster v1.0 RC1
- Paros v3.2.13
- Ratproxy v1.57-beta
- sqlmap v0.7
- helpful Firefox add-ons

VirtualBoxされいれてしまえばツールや環境を個別に用意する必要がない分こっちのほうが楽そうですね。

＠ITで書かせていただいている連載の最終回
Q.E.D.――セキュリティ問題を解決するのは「人」
が公開されました。
これで長らく続けさせていただいた＠ＩＴでの連載も終了です。

連載を開始から今日までの長い間、文字数も気にすることなく好き勝手に書いていたにも関わらず、すばらしいキャッチと編集テクニックでまとめ上げてくださった編集の宮田さん。そして、記事の中で際どい（？）攻撃手法を取り上げているにも関わらず大きな懐で許容してくださった＠ITに感謝しています。

そして、私の記事を一度でも読んでくださった読者の方々。
本当にありがとうございました。

p.s.
あからさまなので気づいている方は多くいらっしゃると思いますが
タイトルや言い回しのところどころはエヴァンゲリオ（ヲ）ンから拝借していました。
最後の三回ではそれぞれのタイトルに新映画版にちなみ「序」「破」「Q」の文字が入っています。さらに、最終回は9年9月9日公開です。
そして、連載回数の17回は使徒の数だったりするわけです。