Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ECサイトの脆弱性診断をいい感じにやりたい/OWASPKansaiNight_LT1_220727

OWASP Kansai
July 27, 2022
Programming
0
750

 ECサイトの脆弱性診断をいい感じにやりたい/OWASPKansaiNight_LT1_220727

「オワスプナイトカンサイ 2022.07 ~あつまろう関西~」にて
kiy0takaさんに発表いただいたLT「ECサイトの脆弱性診断をいい感じにやりたい」です
※資料内に埋め込みLinkが多数ありますので、資料をDLしてご確認ください

OWASP Kansai

July 27, 2022
Tweet

More Decks by OWASP Kansai

See All by OWASP Kansai
孫に買ったプログラミング教材がすごかった話/owaspkansainight-lt3-220727
owaspkansai
0
65
ファームウェア解析に触れてみよう!/OWASPKansai_FSTM_230422
owaspkansai
0
410
事前準備_ファームウェア解析に触れてみよう!
owaspkansai
0
200
デジタル・ディバイドについて/OWASPKansaiNight_LT2_220216
owaspkansai
0
200
OWASP_Kansai_LT3_211124.pdf
owaspkansai
0
110
ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security
owaspkansai
0
170
WordPressセキュリティハンズオン事前準備マニュアル/OWASPKansaiNagoya_WP1_190929
owaspkansai
2
280
OWASP Kansai 2019.06/OWASP ASVS 4.0から思うこと
owaspkansai
0
600
OWASP_Kansai_CybeerTako_LT1_190615
owaspkansai
0
200

Other Decks in Programming

See All in Programming
R言語の環境構築と基礎 Tokyo.R 112
bob3bob3
0
270
"config" ってなんだ? / What is "config"?
okashoi
0
240
Ruby Function Composition
bkuhlmann
1
330
Apache Hive 4 on Treasure Data
ryukobayashi
0
360
Git Rebase
bkuhlmann
11
1.6k
Build Apps for iOS, Android & Desktop in 100% Kotlin With Compose Multiplatform (mDevCamp 2024)
zsmb
0
360
コーンフレークから始める モデリング会話入門
ogurotakayuki
0
380
大規模Reactアプリのリアーキテクチャ~8万行のTanStack Query移行の軌跡~
kj455
4
970
if constexpr文はテンプレート世界のラムダ式である
faithandbrave
3
650
Let's learn code review
riofujimon
2
520
見た目から始める生産性向上
ikumatadokoro
8
980
GraphQLサーバの構成要素を整理する #ハッカー鮨 #tsukijigraphql / graphql server technology selection
izumin5210
4
840

Featured

See All Featured
Building Better People: How to give real-time feedback that sticks.
wjessup
355
18k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
2
1.3k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
241
1.2M
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
21
1.6k
Thoughts on Productivity
jonyablonski
58
3.8k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
357
22k
[RailsConf 2023] Rails as a piece of cake
palkan
23
4k
Testing 201, or: Great Expectations
jmmastey
28
6.4k
A Modern Web Designer's Workflow
chriscoyier
689
190k
Building a Scalable Design System with Sketch
lauravandoore
456
32k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
104
6.6k
Large-scale JavaScript Application Architecture
addyosmani
504
110k

Transcript

  1. Copyright © EC-CUBE CO.,LTD. All Rights Reserved. ECサイトの脆弱性診断をいい感じにしたい @kiy0taka オワスプナイトカンサイ

    2022.07 ~あつまろう関西~

  2. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. 自己紹介 • 奥 清隆

    (おく きよたか) • kiy0taka (git.io/K) • CTO@株式会社イーシーキューブ

  3. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. EC-CUBEの脆弱性診断 • OSS開発時の診断 –

    有償ツールでの脆弱性スキャン – セキュリティ専門企業による脆弱性診断 – VAddyでのE2Eテストを流用した脆弱性診断 • イーシーキューブ社以外でも利用しやすいものがないか? – オープンな仕組みで – コストがあまり掛からないように – 多くの人が使えるように

  4. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. 今日のお話 • ECサイトというかEC-CUBEの脆弱性診断をいい感じにしたい •

    そのためにOWASP ZAPを使ったりしている内容を紹介して 褒められたい ご意 見いただきたい

  5. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. ぼくがかんがえたさいきょうのEC-CUBE脆弱性診断 • OWASP ZAPで

    • マルチステップスキャンしたい • 自動化したい • セットアップに時間かけたくない

  6. マルチステップスキャンしたい

  7. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. マルチステップスキャン • 複数の画面遷移しないと辿れない画面へのアクティブスキャン •

    例)ECサイトでの購入フロー 1. 商品ページにアクセス 2. 商品をカートに入れる 3. レジに進む 4. 配送情報や支払い方法などを入力する 5. 確認する 6. 購入完了 いきなり4.のPOSTリクエストに対してアクティブスキャンできない -> 画面遷移エラーになるだけ • マルチステップスキャン=画面遷移しながらアクティブスキャンする

  8. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. マルチステップスキャン • 例えば、3つの画面を遷移するマルチステップがあるとする •

    パストラバーサルを検知するため各リクエストで100パターン攻撃するとする • 攻撃を含まない通常のリクエストをそれぞれreq1、req2、req3とする • 画面遷移時の攻撃リクエストをpt2(1)からpt2(100)、pt3(1)からpt3(100)とする 画面1 リクエスト 画面2 リクエスト 画面3 リクエスト req1 pt2(1) req(3) req1 pt2(2) req(3) … req1 pt2(100) req(3) req1 req2 pt3(1) req1 req2 pt3(2) … req1 req2 pt3(100)

  9. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. OWASP ZAP Sequence アドオン

    • マルチステップスキャンできるアドオン • 使い方 – Sequenceタイプのスクリプトを作成 – Zest形式でマルチステップを記述する – スクリプトに対してアクティブスキャン実行

  10. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. Sequence スクリプトの良い点1 • 各ステップでアサーションを定義できるのでアクティブスキャン実行前に

    Sequeceスクリプトを実行してすべてのアサーションが通るか確認できる • もしアサーションが通らない場合は、アプリケーションに変更が入って Sequenceスクリプトがそれに対応していないことを発見できる

  11. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. • マルチステップスキャンにすることで、アプリケーショションに変更を加えな くてもアクティブスキャンができるようになる •

    例えば、削除処理が実行されるリクエストに対してアクティブスキャンしたい とき、実際にはデータを削除されないようにパッチを当てておかないといけな い • データの登録から削除までの一連のステップをSequenceスクリプトにしておけ ばパッチを当てずにアクティブスキャンできる • 時間はかかるが放置できる Sequence スクリプトの良い点2

  12. Copyright © EC-CUBE CO.,LTD. All Rights Reserved. Sequenceアドオン最強!

  13. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. • Cookieを送信してくれない問題 – https://github.com/zaproxy/zaproxy/issues/2634

    • カートに入れてカート画面に行ってもCookieを送信してないのでカートは空 • 2016年のIssueが解決されないままクローズされてた • マルチステップスキャンなんてできなかった ではなかった。。

  14. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. 修正した。 • いろいろ修正 –

    zaproxy – zap-extensions – zest • まだプルリク出せてない – ちょっと強引な箇所とか – Cookie送れない問題以外にもまとめて修正しちゃってるので分けないと – とりあえず自分のやりたいこと優先してしまった

  15. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. ぼくがかんがえたさいきょうのEC-CUBE脆弱性診断 • OWASP ZAPで

    • マルチステップスキャンしたい • 自動化したい • 使いやすいものにしたい ✔ ✔

  16. 自動化したい

  17. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. 自動化したい • Automation Framework

    • OWASP ZAPで行う様々な処理をYAMLで定義してCLIで実行できる ./zap.sh -cmd -autorun saikyouno_scan.yaml • あとはGitHub Actionsで定期実行 – アプリケーションの修正を定期的にスキャン – アプリケーションに変更がなくてもOWASP ZAPが更新されることで新し い脆弱性を検知できる

  18. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. 自動化したい • Sequenceスクリプトを実行 •

    Assertionが通ってるのを確認 • Sequenceスクリプトのアクティブスキャン • レポート作成 • リスク高のアラートがないことを確認

  19. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. Automation Framework • Sequenceスクリプトを実行

    スクリプト実行はStandalon or Targetedのみ • Assertionが通ってるのを確認 機能なし • Sequenceスクリプトのアクティブスキャン 機能なし • レポート作成 • リスク高のアラートがないことを確認  機能なし ✗ ✗ ✗ ✗ ✔

  20. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. 実装した。 • Sequenceスクリプトを実行 Scriptアドオン修正

    • Assertionが通ってるのを確認 あとでやる • Sequenceスクリプトのアクティブスキャン Sequenceアドオンに実装した • レポート作成 • リスク高のアラートがないことを確認  Standaloneスクリプトでやる とりあえずよしとする。 プルリクエストはまだ出せてない ✔ ✗ ✔ ✔ ✔

  21. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. GitHub Actionsの壁 • 6時間制限

    – マルチステップスキャンは時間がかかる – self-hosted runner使えば回避できるけど • ディスク容量不足 – すべてのリクエスト/レスポンス結果を保存する – 画像アップロードするステップとか大量の画像が保存される – self-hosted runner使えば回避できるけど

  22. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. GitHub Actionsの壁 • 6時間制限

    – マルチステップスキャンのステップが多くならないようにする • ディスク容量不足 – アクティブスキャンを実行してる裏で不要になったデータは削除する – 1pxの画像とを使ってリクエストが小さくなるようにする – リクエスト/レスポンスがすべて保存されるのは回避できない – ステップを少なくするのはディスク容量節約にもなる

  23. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. ※失敗してるのは誤検知に対する Alert Filter設定できていないだけ できた!

  24. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. ぼくがかんがえたさいきょうのEC-CUBE脆弱性診断 • OWASP ZAPで

    • マルチステップスキャンしたい • 自動化したい • セットアップに時間かけたくない ✔ ✔ △

  25. 自動化したい

  26. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. セットアップに時間かけたくない • なんとかOWASP ZAPでいい感じになりそうなとこまで来たが。

    • これを使うには、 – 使い方の学習 – 環境のセットアップ – Sequenceスクリプトの作成 – etc. • まだまだ使えるようになるまでのコストが掛かる

  27. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. • EC-CUBE用のOWASP ZAPアドオン開発 –

    各種設定を簡単にできるウィザード – スキャン漏れのURLが確認できる機能 – 追加されたパラメーターの漏れがないか確認できる機能 – etc. セットアップに時間かからないように

  28. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. ぼくがかんがえたさいきょうのEC-CUBE脆弱性診断 • OWASP ZAPで

    • マルチステップスキャンしたい • 自動化したい • セットアップに時間かけたくない これからやるところ ✔ ✔ △ ✗

  29. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. 俺たちの戦いはこれからだ! • EC-CUBEの次回作にご期待ください。 •

    ご清聴ありがとうございました。

  30. https://www.ec-cube.net/events/release4.2/bugbounty2022.php 【PR】