Hack The Box HTB Academy
- 無料プランとビジネス向けプランがあるけど、ビジネス向けプランの機能 は受講者管理とかみたい。
User AggrementのURLは個人向けプランも商用プランも同じ。
商用利用が可能かをUser Aggrementで確認したところ、commercially exploitは禁止と書かれていたが、これはIntellectual Property Rightsの章の記載なので著作権上の利用を禁止している表記ですね。commercially useを禁止している記載は特に見当たらなかった。もし禁止していたら無料プランとビジネス向けプランでUser Aggrementが同じになっている理由が不明ですもんね。
- ユーザ登録は無料で行えるが、モジュールの受講にはポイントが必要で、このポイントに課金する形になっている。ユーザ登録時の初期ポイントは60ポイント。
- Tier 0のモジュールは受講に10ポイント支払って、受講完了時に10ポイント受け取れるので差引ゼロ。Tier Iのモジュールは50ポイント、Tier II以上のモジュールは100ポイント必要なので、無課金で何もせず受講できるのはTier 0か、Tier 1をひとつだけ。 ポイントの設計的にみても「みんなで勉強会をしましょう」というよりは、ひとりでもくもくと勉強を進めることを指向したシステムに見える。
Try Hack Me
- 無料プランとビジネス用プラン(TryHackMe for Business)があり、それぞれTerms of Useが違う。
- 無料プラン申し込み時のTerms of Useでは商用(business purposes)での使用が禁止されている。こちらはIntellectual PropertyでなくUsing the Siteの章の記載なので、著作権上の利用とか営利利用とかの話でなく、業務上での使用の禁止を指しているものと思われる。
- TryHackMe for BusinessのTerms of Useにはそのような記載はない。
- 攻撃を受ける側のマシンと、AttackBox(攻撃に使う用のマシン)をそれぞれVMで立ち上げて、それを使ってハンズオンを進める。AttackBoxは無料ユーザだと1日1時間までしか使えない。
ksnctf
- ログインなしで試せるのはいいけど、.pcapの解析とかが多いのでブラウザだけでお手軽に実行するには向いてないかも。CyberChefとかでできる範囲くらいかな……
picoCTF
- Terms of Useでpersonal use (i.e., non-commercial use)のみOKと書いてある。商用利用はNGみたいですね。
2024/09/21追記:
picoGymの作りが一問一答形式になっていて、勉強会での使用に丁度よかったので、営利企業でも使っていいの?というのを聞いてみた。受講者ごとにユーザアカウントを登録して、勉強会の中で使う分には問題ないよ、とのこと。
質問:
To Whom It May Concern,
I have a question about picoCTF Terms of Service.
I am trying to organize a study session to improve the technical skills of my colleagues in my department. After looking at the content of picoCTF, I thought the content of picoGym would be suitable for this purpose. So I would like to use picoCTF for a study session during work hours in my company. There will be no participation by members from outside the organization. In addition, there will be no fee charged for participation in this session.
The "Use/Availability of the Services" section of the Terms of Service says "You may only use and display the Content of the Services for your own personal use (i.e., non-commercial use)".
My question is: does this usage constitute the "commercial use" prohibited by the picoCTF Terms of Services?
Sincerely,
What I want to use in the study session is only picoGym.
And to clarify:
I'm not sure the term "(non-)commercial use" in the Terms of Service means which of the following:
a) it prohibits to let a third party use the service for the benefit of the third party
b) it prohibits using the service and getting profit
c) it prohibits the use of the service in profit organizations
回答:
Hi Yusuke Sato,
Since picoCTF is a non-profit program run by Carnegie Mellon Univeristy, they retain all rights and licenses for the program. Therefore, use of the program is for educational purposes only. Using it as tool in your study sessions should be fine as long as the platform is being used as intended and each particpant has their own account in accordance with the terms, rules, and privacy policies.
thank you, Megan
Hacker101 CTF
- HackerOne Community Member Terms and Conditionsでは「use the Service for the benefit of a third party」が禁止されている。つまり営利目的利用が禁止(営利企業内での直接的に第三者から利益を得ない利用はOK)というように読めます。
- Micro-CMS v1がIDORの問題。IDOR, XSS, SQL Injectionが試せてちょうどいいかも。
PortSwigger Web Security Academy
- Burp Suiteの販売元が提供している。
- Labsを実行するとブラウザから直接アクセス可能な環境が立ちあがる(Hacker101 CTFと同じ感じ)。基本的にはBurp Suiteで攻撃を行う前提でSolutionが書かれているが、別にChromeとかでも実行は可能のように見える。
- 9.2 For consumer UsersにUsers agree not to use the Websites for any commercial or business purposesとあり、商用利用はNGみたい。Web Security AcademyをBusiness Usersとして使う方法は提示されていないので、Burp Suiteの有償版を使っている場合と解釈したらいいのかな。
