Upgrade to Pro — share decks privately, control downloads, hide ads and more …

あなたのWebアプリケーション OWASP TOP 10に対応できていますか?

8f55dafc5db5ad7ff5c68b4eabd1143c?s=47 hasegawayosuke
March 06, 2018
0
200

あなたのWebアプリケーション OWASP TOP 10に対応できていますか?

8f55dafc5db5ad7ff5c68b4eabd1143c?s=128

hasegawayosuke

March 06, 2018
Tweet

More Decks by hasegawayosuke

See All by hasegawayosuke
これからのフロントエンドセキュリティ
8f55dafc5db5ad7ff5c68b4eabd1143c?s=48 hasegawayosuke
36
13k
SSRF基礎
8f55dafc5db5ad7ff5c68b4eabd1143c?s=48 hasegawayosuke
24
11k
Node.jsセキュリティ
8f55dafc5db5ad7ff5c68b4eabd1143c?s=48 hasegawayosuke
14
4.7k
脆弱性診断を通じて見えてくるWebセキュリティ
8f55dafc5db5ad7ff5c68b4eabd1143c?s=48 hasegawayosuke
12
4.2k
プロキシーツールとかを使うときの小技
8f55dafc5db5ad7ff5c68b4eabd1143c?s=48 hasegawayosuke
11
2.6k
All Your REJECT Are Belong To Us - リジェクトする側から -
8f55dafc5db5ad7ff5c68b4eabd1143c?s=48 hasegawayosuke
4
2.2k
WebアプリをOWASP TOP 10に対応させよう / #shibuyaxss techtalk #10
8f55dafc5db5ad7ff5c68b4eabd1143c?s=48 hasegawayosuke
8
2.3k

Featured

See All Featured
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
B3d6434763caa0ef5dc4b792662c49f7?s=48 smashingmag
237
19k
BBQ
761be20b5ebd271008bcee1244fc5b52?s=48 matthewcrist
74
7.9k
5 minutes of I Can Smell Your CMS
465724d73fe3a92c0879fdfb43a3a6f3?s=48 philhawksworth
196
18k
Infographics Made Easy
282d599b414022eba5096510f675b6e2?s=48 chrislema
233
17k
How STYLIGHT went responsive
F716e5f737fcfb03f2cf8d1a184f1dbe?s=48 nonsquared
85
3.9k
Adopting Sorbet at Scale
2bb923c57a1fdc3a2eb484bb8d565fd2?s=48 ufuk
63
7.6k
Web development in the modern age
465724d73fe3a92c0879fdfb43a3a6f3?s=48 philhawksworth
197
9.3k
Bootstrapping a Software Product
A9179349dd2bdc67f377719f56d85656?s=48 garrettdimon
296
110k
Creatively Recalculating Your Daily Design Routine
48c098b6579220a67a6ba949be6e4b5a?s=48 revolveconf
207
10k
Building Flexible Design Systems
91cefdf141106fa10674aae74ce05890?s=48 yeseniaperezcruz
310
34k
The Straight Up "How To Draw Better" Workshop
Aff5641764408271f7bc398f2097edd0?s=48 denniskardys
225
120k
Typedesign – Prime Four
A0517b08532aec8ab2aae3f65d40ad86?s=48 hannesfritz
33
1.3k

Transcript

  1. OWASP Night at Mar 5 2018 #owaspjapan t あなたのWebアプリケーション OWASP

    TOP 10に 対応できていますか? Yosuke HASEGAWA

  2. OWASP Night at Mar 5 2018 #owaspjapan t はせがわようすけ ▸OWASP

    Kansai チャプターリーダー ▸OWASP Japan アドバイザリボードメンバー

  3. OWASP Night at Mar 5 2018 #owaspjapan t ▸ 日本語版

    昨年末にリリースされました ▸ 日本語版翻訳コントリビューター https://www.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf Akitsugu ITO Albert Hsieh Chie TAZAWA Hideko IGARASHI Hiroshi TOKUMARU Naoto KATSUMI Riotaro OKADA Robert DRACEA Satoru TAKAHASHI Sen UENO Shoichi NAKATA Takanori ANDO Takanori NAKANOWATARI Tomohiro SANAE

  4. OWASP Night at Mar 5 2018 #owaspjapan t ▸ A1:2017

    - インジェクション ▸ A2:2017 - 認証の不備 ▸ A3:2017 - 機微な情報の露出 ▸ A4:2017 - XML外部エンティティ参照(XXE) ▸ A5:2017 - アクセス制御の不備 ▸ A6:2017 - 不適切なセキュリティ設定 ▸ A7:2017 - クロスサイトスクリプティング ▸ A8:2017 - 安全でないデシリアライゼーション ▸ A9:2017 - 既知の脆弱性を持つコンポーネントの使用 ▸ A10:2017 - 不十分なロギングとモニタリング

  5. OWASP Night at Mar 5 2018 #owaspjapan t OWASP TOP

    10 実際に体感はしにくい!?

  6. OWASP Night at Mar 5 2018 #owaspjapan t ▸やられWebアプリはそれなりに色々世の中 になる

    ▸OWASP BWA ▸OWASP Juice Shop ▸既存やられWebアプリの問題 ▸含まれる脆弱性とOWASP TOP 10との関係性が 整理されていない ▸メンテされていないものも多い ▸動かす環境をつくるのが面倒 ▸多人数での演習に向かない ※上記BWAやJuice Shopがそうだというわけではありません

  7. OWASP Night at Mar 5 2018 #owaspjapan t やられWebアプリ 作ってみた

  8. OWASP Night at Mar 5 2018 #owaspjapan t http://bit.ly/BadLibrary

  9. OWASP Night at Mar 5 2018 #owaspjapan t ▸BadLibrary http://bit.ly/BadLibrary

    ▸起動するまでが簡単 ▸Webアプリとしての機能が理解しやすい規模 ▸わかりやすい脆弱性がそこそこの量 ▸多人数でも安心して演習できる ▸含まれる脆弱性を設定で変更可能 % gi t cl one ht t ps: / / gi t hub. com / Secur eSkyTechnol ogy/ BadLi br ar y. gi t % cd sr c % npm i nst al l # 依 存ライブラリ ( SQLi t e3等 ) のインストール % npm st ar t # 8080で W ebアプリが起動

  10. OWASP Night at Mar 5 2018 #owaspjapan t ▸含まれる脆弱性の設定 /

    / conf i g. j son { " gl obal " : { " basi c" : " user : pass" / / アプリ自体の BAI SC認証 } , " vul ner abi l i t i es" : { / / 脆弱性の有無の設定 " sql i " : [ " aut h" , " sear ch" , " bl i nd" ] , " xss" : [ " r ef l ect " , " st or ed" , " dom " ] , " sessi on" : [ " no- r ef r esh" , " no- ht t ponl y" , " ser i al " ] , " xxe" : t r ue, " csr f " : t r ue, " expose" : [ " di r i ndex" , " adm i n" , " cont act " ] } }

  11. OWASP Night at Mar 5 2018 #owaspjapan t A1 インジェクション

    SQLインジェクション A2 認証の不備 セッションIDが連番、ログイン後の再発 行なし、httponlyなし A3 機微な情報の露出 問い合わせログが閲覧可能 A4 XML外部エンティティ参照(XXE) XXE A5 アクセス制御の不備 管理画面が誰でもアクセス可能 A6 不適切なセキュリティ設定 ディレクトリリスティング A7 クロスサイトスクリプティング 反射型XSS、DOM-based XSS A8 安全でないデシリアライゼーション ― A9 既知の脆弱性を持つコンポーネントの使用 ― A10 不十分なロギングとモニタリング ログを記録していない

  12. OWASP Night at Mar 5 2018 #owaspjapan t A1 インジェクション

    SQLインジェクション A2 認証の不備 セッションIDが連番、ログイン後の再発 行なし、httponlyなし A3 機微な情報の露出 問い合わせログが閲覧可能 A4 XML外部エンティティ参照(XXE) XXE A5 アクセス制御の不備 管理画面が誰でもアクセス可能 A6 不適切なセキュリティ設定 ディレクトリリスティング A7 クロスサイトスクリプティング 反射型XSS、DOM-based XSS A8 安全でないデシリアライゼーション ― A9 既知の脆弱性を持つコンポーネントの使用 ― A10 不十分なロギングとモニタリング ログを記録していない

  13. OWASP Night at Mar 5 2018 #owaspjapan t aaa /

    / conf i g. j son { " vul ner abi l i t i es" : { " sql i " : [ " aut h" ] } }

  14. OWASP Night at Mar 5 2018 #owaspjapan t / /

    conf i g. j son { " vul ner abi l i t i es" : { " sql i " : [ " sear ch" ] } }

  15. OWASP Night at Mar 5 2018 #owaspjapan t / /

    conf i g. j son { " vul ner abi l i t i es" : { " sql i " : [ " bl i nd" ] } } mail=chiba@example.jp

  16. OWASP Night at Mar 5 2018 #owaspjapan t / /

    conf i g. j son { " vul ner abi l i t i es" : { " sql i " : [ " bl i nd" ] } } mail=chiba@example.jp mail=nouser@example.jp (存在しないユーザー)

  17. OWASP Night at Mar 5 2018 #owaspjapan t A1 インジェクション

    SQLインジェクション A2 認証の不備 セッションIDが連番、ログイン後の再発 行なし、httponlyなし A3 機微な情報の露出 問い合わせログが閲覧可能 A4 XML外部エンティティ参照(XXE) XXE A5 アクセス制御の不備 管理画面が誰でもアクセス可能 A6 不適切なセキュリティ設定 ディレクトリリスティング A7 クロスサイトスクリプティング 反射型XSS、DOM-based XSS A8 安全でないデシリアライゼーション ― A9 既知の脆弱性を持つコンポーネントの使用 ― A10 不十分なロギングとモニタリング ログを記録していない

  18. OWASP Night at Mar 5 2018 #owaspjapan t セッションIDが「1」 /

    / conf i g. j son { " vul ner abi l i t i es" : { " sessi on" : [ " no- r ef r esh" , " no- ht t ponl y" , " ser i al " ] } } 再発行されていない

  19. OWASP Night at Mar 5 2018 #owaspjapan t A1 インジェクション

    SQLインジェクション A2 認証の不備 セッションIDが連番、ログイン後の再発 行なし、httponlyなし A3 機微な情報の露出 問い合わせログが閲覧可能 A4 XML外部エンティティ参照(XXE) XXE A5 アクセス制御の不備 管理画面が誰でもアクセス可能 A6 不適切なセキュリティ設定 ディレクトリリスティング A7 クロスサイトスクリプティング 反射型XSS、DOM-based XSS A8 安全でないデシリアライゼーション ― A9 既知の脆弱性を持つコンポーネントの使用 ― A10 不十分なロギングとモニタリング ログを記録していない

  20. OWASP Night at Mar 5 2018 #owaspjapan t / /

    conf i g. j son { " vul ner abi l i t i es" : { " expose" : [ " di r i ndex" , cont act " ] } }

  21. OWASP Night at Mar 5 2018 #owaspjapan t A1 インジェクション

    SQLインジェクション A2 認証の不備 セッションIDが連番、ログイン後の再発 行なし、httponlyなし A3 機微な情報の露出 問い合わせログが閲覧可能 A4 XML外部エンティティ参照(XXE) XXE A5 アクセス制御の不備 管理画面が誰でもアクセス可能 A6 不適切なセキュリティ設定 ディレクトリリスティング A7 クロスサイトスクリプティング 反射型XSS、DOM-based XSS A8 安全でないデシリアライゼーション ― A9 既知の脆弱性を持つコンポーネントの使用 ― A10 不十分なロギングとモニタリング ログを記録していない

  22. OWASP Night at Mar 5 2018 #owaspjapan t / /

    conf i g. j son { " vul ner abi l i t i es" : { " xxe" : t r ue, " expose" : [ " adm i n" ] } }

  23. OWASP Night at Mar 5 2018 #owaspjapan t / /

    conf i g. j son { " vul ner abi l i t i es" : { " xxe" : t r ue, " expose" : [ " adm i n" ] } }

  24. OWASP Night at Mar 5 2018 #owaspjapan t A1 インジェクション

    SQLインジェクション A2 認証の不備 セッションIDが連番、ログイン後の再発 行なし、httponlyなし A3 機微な情報の露出 問い合わせログが閲覧可能 A4 XML外部エンティティ参照(XXE) XXE A5 アクセス制御の不備 管理画面が誰でもアクセス可能 A6 不適切なセキュリティ設定 ディレクトリリスティング A7 クロスサイトスクリプティング 反射型XSS、DOM-based XSS A8 安全でないデシリアライゼーション ― A9 既知の脆弱性を持つコンポーネントの使用 ― A10 不十分なロギングとモニタリング ログを記録していない

  25. OWASP Night at Mar 5 2018 #owaspjapan t / /

    conf i g. j son { " vul ner abi l i t i es" : { " expose" : [ " adm i n" ] } }

  26. OWASP Night at Mar 5 2018 #owaspjapan t A1 インジェクション

    SQLインジェクション A2 認証の不備 セッションIDが連番、ログイン後の再発 行なし、httponlyなし A3 機微な情報の露出 問い合わせログが閲覧可能 A4 XML外部エンティティ参照(XXE) XXE A5 アクセス制御の不備 管理画面が誰でもアクセス可能 A6 不適切なセキュリティ設定 ディレクトリリスティング A7 クロスサイトスクリプティング 反射型XSS、DOM-based XSS A8 安全でないデシリアライゼーション ― A9 既知の脆弱性を持つコンポーネントの使用 ― A10 不十分なロギングとモニタリング ログを記録していない

  27. OWASP Night at Mar 5 2018 #owaspjapan t / /

    conf i g. j son { " vul ner abi l i t i es" : { " expose" : [ " di r i ndex" , " cont act " ] } }

  28. OWASP Night at Mar 5 2018 #owaspjapan t A1 インジェクション

    SQLインジェクション A2 認証の不備 セッションIDが連番、ログイン後の再発 行なし、httponlyなし A3 機微な情報の露出 問い合わせログが閲覧可能 A4 XML外部エンティティ参照(XXE) XXE A5 アクセス制御の不備 管理画面が誰でもアクセス可能 A6 不適切なセキュリティ設定 ディレクトリリスティング A7 クロスサイトスクリプティング 反射型XSS、DOM-based XSS A8 安全でないデシリアライゼーション ― A9 既知の脆弱性を持つコンポーネントの使用 ― A10 不十分なロギングとモニタリング ログを記録していない

  29. OWASP Night at Mar 5 2018 #owaspjapan t / /

    conf i g. j son { " vul ner abi l i t i es" : { " xss" : [ " r ef r ect " , " dom " ] } }

  30. OWASP Night at Mar 5 2018 #owaspjapan t A1 インジェクション

    SQLインジェクション A2 認証の不備 セッションIDが連番、ログイン後の再発 行なし、httponlyなし A3 機微な情報の露出 問い合わせログが閲覧可能 A4 XML外部エンティティ参照(XXE) XXE A5 アクセス制御の不備 管理画面が誰でもアクセス可能 A6 不適切なセキュリティ設定 ディレクトリリスティング A7 クロスサイトスクリプティング 反射型XSS、DOM-based XSS A8 安全でないデシリアライゼーション ― A9 既知の脆弱性を持つコンポーネントの使用 ― A10 不十分なロギングとモニタリング ログを記録していない

  31. OWASP Night at Mar 5 2018 #owaspjapan t A1 インジェクション

    SQLインジェクション A2 認証の不備 セッションIDが連番、ログイン後の再発 行なし、httponlyなし A3 機微な情報の露出 問い合わせログが閲覧可能 A4 XML外部エンティティ参照(XXE) XXE A5 アクセス制御の不備 管理画面が誰でもアクセス可能 A6 不適切なセキュリティ設定 ディレクトリリスティング A7 クロスサイトスクリプティング 反射型XSS、DOM-based XSS A8 安全でないデシリアライゼーション ― A9 既知の脆弱性を持つコンポーネントの使用 ― A10 不十分なロギングとモニタリング ログを記録していない

  32. OWASP Night at Mar 5 2018 #owaspjapan t A1 インジェクション

    SQLインジェクション A2 認証の不備 セッションIDが連番、ログイン後の再発 行なし、httponlyなし A3 機微な情報の露出 問い合わせログが閲覧可能 A4 XML外部エンティティ参照(XXE) XXE A5 アクセス制御の不備 管理画面が誰でもアクセス可能 A6 不適切なセキュリティ設定 ディレクトリリスティング A7 クロスサイトスクリプティング 反射型XSS、DOM-based XSS A8 安全でないデシリアライゼーション ― A9 既知の脆弱性を持つコンポーネントの使用 ― A10 不十分なロギングとモニタリング ログを記録していない

  33. OWASP Night at Mar 5 2018 #owaspjapan t ▸BadLibrary http://bit.ly/BadLibrary

    ▸起動するまでが簡単 ▸Webアプリとしての機能が理解しやすい規模 ▸わかりやすい脆弱性がそこそこの量 ▸多人数でも安心して演習できる ▸含まれる脆弱性を設定で変更可能

  34. OWASP Night at Mar 5 2018 #owaspjapan t ▸脆弱だけど安全 ▸環境を破壊するような脆弱性は含まれていない

    ▸多人数で1台に対しての演習も可能 ▸不特定多数への公開では ▸お問い合わせログでディスクを消費する → 設定で無効にできる ▸XXEでサーバー上のファイルが漏洩する → 設定で無効にできる ▸長期運用でメモリーリーク セッションオブジェクトのメモリを解放していな い…

  35. OWASP Night at Mar 5 2018 #owaspjapan t ▸@hasegawayosuke ▸http://utf-8.jp/