$30 off During Our Annual Pro Sale. View Details »

脆弱性診断を通じて見えてくるWebセキュリティ

hasegawayosuke
September 18, 2018

 脆弱性診断を通じて見えてくるWebセキュリティ

OWASP Day 758 講演資料

hasegawayosuke

September 18, 2018
Tweet

More Decks by hasegawayosuke

Other Decks in Technology

Transcript

  1. 脆弱性診断を通じて
    見えてくるWebセキュリティ
    OWASP Kansai チャプターリーダー
    はせがわようすけ

    View Slide

  2. 長谷川陽介 (はせがわようすけ)
    (株)セキュアスカイ・テクノロジー 取締役CTO
    [email protected]
    http://utf-8/jp/
    千葉大学 非常勤講師
    OWASP Kansai チャプターリーダー
    OWASP Japan ボードメンバー
    CODE BLUEカンファレンス レビューボードメンバー

    View Slide

  3. OWASP DAY 758 / 2018 #owaspnagoya
    t
    OWASP Kansai Chapter
    Open
    Web
    Application
    Security
    Project
    みんなの力で,
    ウェブで
    できたもんの
    セキュリティを
    何とかする活動
    …の関西版

    View Slide

  4. OWASP DAY 758 / 2018 #owaspnagoya
    t
    OWASP Kansai Chapter
    自分たちの直面するWebセキュリティの
    問題を自分たちの手で解決したい!
    日本で2番目の OWASP Local Chapter
    2014年3月から 京都・大阪・神戸 で
    Local Chapter Meeting (勉強会) を開催
    Webセキュリティの悩み事を気楽に相談し情報共有できる

    スキル、役職、業種、国籍、性別、年齢に関係なし

    View Slide

  5. OWASP DAY 758 / 2018 #owaspnagoya
    t
    OWASP Kansai Chapter Meeting

    View Slide

  6. OWASP DAY 758 / 2018 #owaspnagoya
    t
    OWASP Kansai Chapter Meeting

    View Slide

  7. OWASP DAY 758 / 2018 #owaspnagoya
    t
    OWASP Kansai Chapter Meeting
    2018年10月17日 オワスプカンサイナイト 開催予定
    卓球バーラウンジパレット 本町店

    View Slide

  8. OWASP DAY 758 / 2018 #owaspnagoya
    t
    OWASP Kansai Chapter Meeting
    2018年12月1日 開催予定
     テーマ : 経営とセキュリティ」
     会場 : アサヒコムホール (大阪中之島フェスティバルタワー)

    View Slide

  9. OWASP DAY 758 / 2018 #owaspnagoya
    t
    今日のテーマ
    「脆弱性診断を通じて見えてくる
    Webセキュリティ」

    View Slide

  10. OWASP DAY 758 / 2018 #owaspnagoya
    t
    世の中のWebサイトには
    どんな脆弱性が多いのか

    View Slide

  11. OWASP DAY 758 / 2018 #owaspnagoya
    t
    IPAへの届け出件数
    ソフトウェア等の脆弱性関連情報に関する届け出状況 [2018年第2四半期(4月~6月)]
    https://www.ipa.go.jp/files/000068146.pdf

    View Slide

  12. OWASP DAY 758 / 2018 #owaspnagoya
    t
    IPAへの届け出件数
    生きてるWebサイトで法的に問題がない状態(?)で見つけられた脆
    弱性のみ
     クロスサイトスクリプティング
     DNS情報の設定不備
     SQLインジェクション
     ディレクトリ・トラバーサル
     ファイルの誤った公開
     HTTPSの不適切な使用
    個人/研究機関が特定の脆弱性を集中的に探すと結果が変わる
    必ずしも実際のWebサイトに存在している脆弱性を反映しているわ
    けではない
    このへん大丈夫なのかな…

    View Slide

  13. OWASP DAY 758 / 2018 #owaspnagoya
    t
    もうちょっと実情に近いデータは
    ないのかな

    View Slide

  14. OWASP DAY 758 / 2018 #owaspnagoya
    t
    出します!どーん!

    View Slide

  15. 脆弱性の見つかった検査案件数の割合(%)
    弊社の診断実施案件にて、年間の検査数に対してそれぞれの
    脆弱性がみつかった案件数の割合を%で表示
    検出数が少ない脆弱性は記載を省略
    ■ 2016年
    ■ 2017年

    View Slide

  16. 脆弱性の見つかった検査案件数の割合(%)
    弊社の診断実施案件にて、年間の検査数に対してそれぞれの
    脆弱性がみつかった案件数の割合を%で表示
    検出数が少ない脆弱性は記載を省略
    ■ 2016年
    ■ 2017年
     XSS - 22%
     診断案件の22%で見つかっている
     対策していても漏れが見つかる - 網羅的に検
    査を行う脆弱性診断が効果的
     不適切なプロセスの検証 - 12%
     アプリケーションロジック上の問題
     診断案件の12%で見つかっている
     SQLインジェクション - 5%
     それほど件数は多くないがリスクは高い
     コードインジェクション - 1%
     リモートコード実行、ごくまれに見つかる

    View Slide

  17. OWASP DAY 758 / 2018 #owaspnagoya
    t
    診断の効果をあげるために

    View Slide

  18. OWASP DAY 758 / 2018 #owaspnagoya
    t
    診断の効果をあげるために
    診断の効果を最大限に得られるように!
     せっかく予算と期間を割いて脆弱性診断を行うのなら、診断の効果を最大
    限にあげられるようにしたほうがお得!
    診断が行いやすい条件いろいろ
     診断のスケジュールが確定している
     大量のリクエストを送っても安定稼働する
     診断用の環境を用意する
     オーソドックスなデータフォーマットで通信
    これら↑が守られていないと診断の精度が落ちることもあり得る

    View Slide

  19. OWASP DAY 758 / 2018 #owaspnagoya
    t
    診断のスケジュールが確定している
    診断会社は限られたリソース(人員)の予定をやりくりして案件を調整
    している
     各社とも診断まで3ヵ月待ちとか普通にあり得る
    開発の遅れで診断が開始できない、リスケになる
     無理やり人員をアサインするので物理的に余裕のない状態になる
    診断スケジュールを変えられないので開発中のものを診断する
     動かない機能があちこちにあって診断できない
     通常のバグも多すぎて脆弱性なのかバグなのか判断できない
     診断が終わった箇所の挙動が変わる。何のために診断してるのかわからな
    くなる

    View Slide

  20. OWASP DAY 758 / 2018 #owaspnagoya
    t
    大量のリクエストを送っても安定稼働する
    診断では網羅性を上げるため、ツールによって大量のリクエストを送
    信する
    こういうサイトは診断しにくい
     大量にリクエストを送ると挙動が不安定になる
     レスポンスが遅い
    ツールをかけるタイミングや速度などの調整はするが、その調整に
    相当の時間を取られることも多い
     診断用の環境は一時的にしか使わないので、少しだけリソースが潤沢にある
    とうれしい。DBとかネットワークとか…。

    View Slide

  21. OWASP DAY 758 / 2018 #owaspnagoya
    t
    診断用の環境を用意する
    本番環境で診断をせざるを得ない場合、かなり神経をつかう
     とある診断員とSQLインジェクション
    https://www.slideshare.net/zaki4649/sql-35102177
     「あれはやってはダメ」「これもやってはダメ」という指定が多いとそのための
    調整も大変。
    本番ではないが開発が進行している環境だと診断の効率が落ちる
     毎日ソフトウェアが追加や更新される
     不定期にデプロイが走り、ちょっとずつ仕様が変わる。診断前半で操作した
    遷移が、後半では消えていて辿れなくなる
     毎朝データが消えてる、デフォルト値に戻ってる

    View Slide

  22. OWASP DAY 758 / 2018 #owaspnagoya
    t
    オーソドックスなデータフォーマットで通信
    複雑なデータフォーマットは専用のパーサーやスタブを実装する必
    要がある
    こういうフォーマットだと苦労する
     パラメータが1つだけの普通のPOSTかと思ったら、パラメータの中身が
    URLエンコードされたJSONで、中身がぎっしり詰まってる
     送信パラメータから署名を生成して都度埋め込むAPI
     MessagePack
     SSTtechlog 12 MessagePack/JSON変換HTTPプロキシの紹介
    https://www.securesky-tech.com/column/techlog/12.html
     スマホアプリで独自暗号化、証明書のピニング
     通信を解いた専用環境を提供してもらわないと相当難しい

    View Slide

  23. OWASP DAY 758 / 2018 #owaspnagoya
    t
    それ以外にも診断の効率が落ちるケース
    B2B用途のAPIで仕様が非公開、業界独自用語、APIのユースケー
    スや用途が不明
    一度しか操作できない操作(初回ログイン時の設定など)が多い
    ログイン遷移で外部SSO挟んで多数サイトのリダイレクトを経由す

    診断を通じて物理的な影響が出る
     ECサイトの診断で実際に商品が届く
     電話やFAXが鳴る
     SOCやIDS/IPSが検知してしまう

    View Slide

  24. OWASP DAY 758 / 2018 #owaspnagoya
    t
    診断の効果をあげるためにできること
    「そうは言っても開発スケジュールも厳しいし、診断会社が柔軟に対
    応してよ」
    ➡ まったくその通りではあるんですが、後工程に押し付けあいするのではなく、
    いっしょに少しでもいいサービスを出せるよう開発側も診断側も協力していき
    たい
    診断を阻害する要因が少なければ少ないほど、より丁寧で精度の高い診断
    サービスを提供できる

    View Slide

  25. OWASP DAY 758 / 2018 #owaspnagoya
    t
    WAFと診断

    View Slide

  26. OWASP DAY 758 / 2018 #owaspnagoya
    t
    WAFと診断
    Web Applicatino Firewallと診断では目的・性格が違う
     診断 - 脆弱性を探す - 「シングルクォートを入れるとエラーが表示される」
     WAF - 攻撃を防ぐ - 「データベースから実際にデータを抜き出す」
    WAFで防げないタイプの脆弱性も多い
     アプリケーションの仕様に基づいた脆弱性など

    View Slide

  27. OWASP DAY 758 / 2018 #owaspnagoya
    t
    安全なアプリケーション開発のために

    View Slide

  28. OWASP DAY 758 / 2018 #owaspnagoya
    t
    安全なアプリケーション開発のために
    安全な設計
     使用する暗号やハッシュの強度
     パスワードリマインダの画面遷移
     権限周りの設計ミス
     その他、仕様に起因するもの
    安全な実装
     SQLインジェクション対策
     XSS対策
     バッファオーバーフロー
     その他、実装に起因するもの

    View Slide

  29. OWASP DAY 758 / 2018 #owaspnagoya
    t
    安全なアプリケーション開発のために
    設計、実装とも世の中の標準を知っておく
    例:
     MD-5やSHA-1はもう使い物にならない
     パスワードリマインダは時限付き
     SQLインジェクション対策にはプリペアードステートメント
     HTML生成には自動エスケープされるテンプレートエンジン

    View Slide

  30. OWASP DAY 758 / 2018 #owaspnagoya
    t
    「脆弱性」の定義
    脆弱性はただのバグ
    脆弱性はバグの一種です。
    一般的なバグは「できるはずのことができな
    い」というものですが、脆弱性は「できないは
    ずのことができる」というバグです。もっと言
    うと、「できてはいけないことができる」という
    ことです
    EGセキュアソリューションズ
    徳丸浩さん

    View Slide

  31. OWASP DAY 758 / 2018 #owaspnagoya
    t
    脆弱性はただのバグ
    バグの少ないプログラム = 脆弱性も少ない
     脆弱性を減らすにはバグを減らせばいい
    まずはプログラムの品質をあげよう!
     セキュリティだけにフォーカスするのは本当は間違い
     そのうえでセキュリティに特化した対応を!
    コードの品質を上げる = 安全になる
     デザインレビュー
     コードレビュー
     テストを書く
     最後に脆弱性検査

    View Slide

  32. OWASP DAY 758 / 2018 #owaspnagoya
    t
    コードの品質を上げる
    PHP7で堅牢なコードを書く - 例外処理、表明プログラミング、契約による設計
     和田卓人(t_wada)さん
     スライド
    https://speakerdeck.com/twada/php-conference-2016-revised
     動画
    https://www.youtube.com/watch?v=54jHDHvcYAo
    開発者なら絶対に見ておいたほうがいい

    View Slide

  33. OWASP DAY 758 / 2018 #owaspnagoya
    t
    質問?
    [email protected]
    @hasegawayosuke
    http://utf-8.jp/

    View Slide