Security course

Transcript

1. セキュリティ講座 2019/5/14 @kurumi.kurogi

2. セキュリティとは？

3. セキュリティとは 安全、防犯、保安 コンピュータやソフトウェアなどを技術的に保護し 漏洩、改ざん、攻撃、侵入などの危険を排除

4. セキュリティとは 構築時？ 実装時？ 運用時？

5. セキュリティとは 構築時？ 実装時？ 運用時？

6. 実装時における対策 1. SQL インジェクション 2. XSS（クロスサイト・スクリプティング） 3. CSRF（クロスサイト・リクエスト・フォージェリ） 4. セッションハイジャック

7. 実装時における対策 1. SQL インジェクション 2. XSS（クロスサイト・スクリプティング） 3. CSRF（クロスサイト・リクエスト・フォージェリ） 4. セッションハイジャック

8. None

9. SQLインジェクション 脆弱性のある実装 $query = "SELECT * FROM user WHERE id

   = ‘$uid’”; $uidに以下を入れてみると？ •‘or ‘A’=‘A •‘; delete * from user where ‘a’=‘a

10. 対策 • プレースホルダ • エスケープ処理 ※LaravelやRailsなどのFWを使用する場合は、ORMがいい感じ に処理してくれることが多い

11. 対策 修正後の実装（プレースホルダ使用） $query = "SELECT * FROM usr WHERE uid

    = ?” execute($uid);

12. ハンズオン 攻撃してみよう！ https://contents.saitolab.org/taiken/

13. 実装時における対策 1. SQL インジェクション 2. XSS（クロスサイト・スクリプティング） 3. CSRF（クロスサイト・リクエスト・フォージェリ） 4. セッションハイジャック

14. None

15. XSS(クロスサイトスクリプティング) 脆弱性のある実装 <div> 検索結果：<?php echo $keyword ?> </div> $keywordに以下を入れると？ •

    <script>alert("Bug!!!");</script> • <font color=“red”>

16. 対策 • HTMLテキストの入力を許可しない • エスケープ処理 • バリデーション • 文字コードを指定 •

    HTTPレスポンスヘッダに指定 • HTMLのMETA宣言部分に指定

17. 対策 修正済みの実装（エスケープ処理） <div> 検索結果：<?php echo htmlspecialchars($keyword, ENT_QUOTES) ?> </div> HTMLエンティティ

18. 補足 HTMLテキストの入力を許可したい場合は？ • 機能で代替 • ホワイトリスト方式 • ブラックリスト方式

19. ハンズオン 攻撃してみよう！ https://contents.saitolab.org/taiken/

20. 実装時における対策 1. SQL インジェクション 2. XSS（クロスサイト・スクリプティング） 3. CSRF（クロスサイト・リクエスト・フォージェリ） 4. セッションハイジャック

21. None

22. CSRF（クロスサイト・リクエスト・フォージェリ） 脆弱性のある実装 (フロント側) <form action="commit.php" method="post"> <input type="hidden" name="new_name" value="脆弱

    太郎"> <input type=“hidden” name=“new_address” value=“東京都”> <input type="submit" name="commit" value="実行"> </form> (サーバ側) if( ! $_SESSION['authenticated'] ) { exit(); } update_userinfo( $_SESSION['uid'], $_POST['new_name'], $_POST['new_address']);

23. CSRF（クロスサイト・リクエスト・フォージェリ） 攻撃用のサイト <form action="http://◦◦/commit.php" method="post" name="f1"> <input type=“hidden” name=“new_name” value=“攻撃者">

    <input type=“hidden” name=“new_address” value=“大阪府"> </form> <script> document.forms['f1'].submit(); </script>

24. 対策 • 指定のフォームを利用して投稿していることを確認する 1. セッション開始時にトークンを発行する 2. 送信用フォームにトークンをhidden要素で埋め込む 3. トークンをPOSTメソッドのリクエストで渡す 4.

    トークンが正しいか検証する

25. 対策 修正後の実装 (サーバ側/token発行時) $csrf_token = get_csrf_token(); //ランダムな文字列を生成 $_SESSION['csrf_token'] = $csrf_token;

    (フロント側) <form action="commit.php" method="post"> <input type="hidden" name="new_name" value="脆弱 太郎"> <input type=“hidden” name=“new_address” value=“東京都"> <input type="hidden" name=”scrf_token" value=”<?=$csrf_token?>”> <input type="submit" name="commit" value="完了"> </form> (サーバ側/リクエスト受取時) if( ! $_SESSION['authenticated'] ) { exit(); } if($_POST[‘scrf_token’]!=$_SESSION['csrf_token']) { exit(); } update_userinfo($_SESSION['uid'],$_POST['new_name'], $_POST['new_address']);

26. ハンズオン 攻撃してみよう！ https://contents.saitolab.org/taiken/

27. 実装時における対策 1. SQL インジェクション 2. XSS（クロスサイト・スクリプティング） 3. CSRF（クロスサイト・リクエスト・フォージェリ） 4. セッションハイジャック

28. セッションハイジャック • セッションIDの推測 • セッションIDの盗用 • セッションIDの固定化

29. None
30. None
31. None

32. 対策 • セッションIDを推測困難にする • セッションIDをURLパラメータに格納しない • HTTPSのCookieはsecure属性を加える • ログイン成功後に新しいセッションを開始する •

    セッションID以外の秘密情報を関連づけて管理する

33. その他の攻撃など • OS コマンド・インジェクション • HTTP ヘッダ・インジェクション • クリックジャッキング •

    バッファオーバーフロー • Dos/DDos攻撃 • ゼロデイ攻撃 • バックドア • フィッシング • ディレクトリ・トラバーサル

34. 補足 構築時におけるセキュリティ • ポートフォワード • ファイアウォール • DMZ • アクセス制限

35. 補足 運用時におけるセキュリティ • 各ツール/バージョンの脆弱性 • 監査 • ソーシャルハッキング • PCロック、紛失防止、USB禁止

36. 参考 • 安全なウェブサイトの作り方：IPA 独立行政法人 情報処理推 進機構 • 体系的に学ぶ 安全なWebアプリケーションの作り方 •

    OWASP Top10 • CVE Details • 「世界最悪のログイン処理コード」を解説してみた - Qiita