Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ペパボセキュリティ研修2024 公開版

n01e0
July 31, 2024
2.2k

ペパボセキュリティ研修2024 公開版

n01e0

July 31, 2024
Tweet

Transcript

  1. 3 ⾃⼰紹介 セキュリティ対策室 2023年 新卒⼊社 紫関 麗王 Shiseki Reo セキュリティ対策室で2019年からアルバイトをして

    いました。セキュリティに関すること好き好きクラ ブ • セキュリティ‧キャンプ2023,2024全国⼤会講師 • SECCON、SECCON Beginners運営 • Twitter : @n01e0
  2. • Kindleで漫画をたくさん買っています • 焼⾁が好きです • バイトのときにオフィス近くの焼⾁ランチほとんど⾏きました • 結論、韓の台所です • ⼀⼈で⾏くなら治郎丸も良いよ

    • 寿司も好きです • ⿂がし⽇本⼀によく⾏きます • パソコンが好きです • いっぱいあります ⾃⼰紹介 4 令和最新版
  3. 6 アジェンダ 1. この研修について 2. 脆弱性とは 2.1. 脆弱性の種類 2.2. 脆弱性の例

    3. トリアージ 3.1. git CVE-2024-32002 3.2. runc Leaky Vessels 4. 被害 5. 意識してほしいこと 6. 攻撃者の⽬線をもつ
  4. • Spoofing • Tampering • Repudiation • Info Disclosure •

    Denial of Service • Elevation of Privelege これら6つの観点でみます STRIDE 脅威モデリング 15 https://developer.ibm.com/articles/threat-modeling-microservices-openshift-4/
  5. • Spoofing • 他⼈のコントロールパネルへのログイン • Tampering • VMイメージの改ざん • Repudiation

    • SQLのクエリログ • Information Disclosure • 作成時の機微な情報がログに残っていないか 例 脅威モデリング 16
  6. 脆弱性の影響度を図るための指標 log4shellはBase Score 10.0のCriticalでCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - AV(Attack Vector) 攻撃と対象の物理的な距離。ネットワーク‧隣接ネットワーク‧ローカル‧物理 - AC(Attack

    Complexity) 脆弱性を悪⽤し、攻撃に使う場合の条件の複雑さ。低‧⾼ - PR(Privileges Required) 脆弱性を悪⽤し、攻撃に使うために必要な権限。なし‧低‧⾼ - UI(User Interaction) 攻撃を成功させるために、ユーザの操作が必要かどうか。不要‧必要 - Scope 脆弱性がシステム上の他のコンポーネントに影響を与えるか。変更あり‧変更なし - C(Confidentiality) 情報の気密性に与える影響。⾼‧低‧なし - I(Integrity) 情報の正確性‧信頼性への影響。⾼‧低‧なし - A(Availability) 情報やシステムの可⽤性に与える影響。⾼‧低‧なし CVSS 脆弱性とは 20
  7. SQL⽂を作成する際、ユーザの⼊⼒を組み込む際は注意が必要 “SELECT * FROM users WHERE id = ‘“ +

    id + “‘’ もしここでidが数値じゃなく⽂字列だったら? “0’ OR ‘1’=’1” SQL Injection 脆弱性の例 26
  8. 29 トリアージ セキュ対で判断を⾏っています - CVSS Score - DREAD Model -

    PoCの有無 - 社内影響の有無 - etc... 脆弱性が⾒つかった!さぁどうする?