Webアプリケーションのセキュリティを説明するために意図的に脆弱性を埋め込んだアプリケーションである。したがって、このレポジトリに含まれるソースコードにバグがあるのは仕様である。 ブログにて解説を行っていく予定である。
Badstore 2015は、Badstoreというプロジェクト(現時点ではアクセスができない)を参考にして、一からPHPで作り直した簡易ショッピングサイトである。
以下の環境で動作確認を行った。
- OS X 10.10
- PHP 5.5
- MySQL 5.6
適宜、config.php内のデータベースの設定などを変更してください。XAMPPを利用するか、自分でローカルにサーバーを立ててください。 localhostに5000番ポートでサーバーを起動させる例。
cd sql
mysql -u USER -p < badstore2015.sql
cd ../www
php -S localhost:5000
他に脆弱性をいろいろ埋め込んで、セキュリティのデモをするときに利用できるようにしたい。おすすめの脆弱性があれば知らせて欲しい。
今後は、反射型XSSとOSコマンドインジェクションの脆弱性をいれる予定である。