ガイド付きシナリオ
実世界の攻撃をシミュレートする、ステップ・バイ・ステップのインタラクティブなウォークスルー。開発者はリアルなブラウザーシミュレーションの中で、偵察から悪用、修正までの攻撃チェーン全体を体験します。
1ステップずつ進んでいく攻撃のウォークスルー。
各ガイド付きシナリオは複数ステップのインタラクティブなシーケンスで、開発者は実際の攻撃が展開していく様子を追います。シミュレーターはサンドボックス化されたブラウザーフレーム内で動作し、リアルなフォーム、ネットワークレスポンス、コードパネルを備えています。各ステップで開発者は、攻撃者に見えるもの、アプリケーションが内部で行っていること、そしてコードがどこで間違ったのかを確認できます。
シナリオの途中、攻撃の途中。
3つのビュー。1つの攻撃。
ブラウザーシミュレーション
サンドボックス化されたブラウザーフレームが、クリック、フォーム送信、URLナビゲーションに対して実際のアプリケーションとまったく同じように応答します — リアルなレイテンシーやサーバーレスポンスも含めて。
コード調査
各ステップでは関連するサーバー側またはクライアント側のコードが公開されるため、開発者はブラウザーで観察した挙動を引き起こしている行を正確に確認できます。
修正の検証
攻撃を一通り体験した後、開発者にはパッチ適用済みのバージョンと、変更点だけでなく修正がなぜ脆弱性を無力化するのかについての並列比較の解説が表示されます。
偵察から修正まで。
実際の悪用は1ステップで完結することはほとんどありません。シナリオは開発者にチェーン全体を体験させます。攻撃者がエントリーポイントをどう発見し、どんな入力を送り、サーバーがどう応答し、どんなデータが漏えいし、その漏えいが次のステップにどうつながるか。最終的に開発者は、サニタイズされた例ではなく、メカニズム全体を見ることになります。
攻撃を見ることは、攻撃について読むよりも記憶に残ります。
スライドは脆弱性を抽象的に説明します。ガイド付きシナリオは、開発者を攻撃者のキーボードの後ろに座らせます。実際のペイロード、実際のレスポンス、それを許してしまった実際のコードを目にします。その体験的な定着こそが、1回限りのトレーニングセッションを、同じパターンが次にプルリクエストに現れたときに発動する直感に変えるのです。
シナリオが動いている様子をご覧ください。
インタラクティブなデモには完全なガイド付きシナリオが含まれているため、当社チームと話す前にブラウザーシミュレーションとステップの流れを体験できます。