Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ECサイトの脆弱性診断をいい感じにやりたい/OWASPKansaiNight_LT1_220727

OWASP Kansai
July 27, 2022
Programming
0
880

 ECサイトの脆弱性診断をいい感じにやりたい/OWASPKansaiNight_LT1_220727

「オワスプナイトカンサイ 2022.07 ~あつまろう関西~」にて
kiy0takaさんに発表いただいたLT「ECサイトの脆弱性診断をいい感じにやりたい」です
※資料内に埋め込みLinkが多数ありますので、資料をDLしてご確認ください

OWASP Kansai

July 27, 2022
Tweet

More Decks by OWASP Kansai

See All by OWASP Kansai
OWASP Kansai DAY 2024.09 〜10周年記念セキュリティ・マシマシ全部盛り〜/OWASPKansai_10thanniv_240921
owaspkansai
0
10
孫に買ったプログラミング教材がすごかった話/owaspkansainight-lt3-220727
owaspkansai
0
260
ファームウェア解析に触れてみよう!/OWASPKansai_FSTM_230422
owaspkansai
0
760
事前準備_ファームウェア解析に触れてみよう!
owaspkansai
0
310
デジタル・ディバイドについて/OWASPKansaiNight_LT2_220216
owaspkansai
0
330
OWASP_Kansai_LT3_211124.pdf
owaspkansai
0
150
ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security
owaspkansai
0
200
WordPressセキュリティハンズオン事前準備マニュアル/OWASPKansaiNagoya_WP1_190929
owaspkansai
2
340
OWASP Kansai 2019.06/OWASP ASVS 4.0から思うこと
owaspkansai
0
700

Other Decks in Programming

See All in Programming
聞き手から登壇者へ: RubyKaigi2024 LTでの初挑戦が 教えてくれた、可能性の星
mikik0
1
130
ふかぼれ!CSSセレクターモジュール / Fukabore! CSS Selectors Module
petamoriken
0
150
OSSで起業してもうすぐ10年 / Open Source Conference 2024 Shimane
furukawayasuto
0
100
受け取る人から提供する人になるということ
little_rubyist
0
230
みんなでプロポーザルを書いてみた
yuriko1211
0
260
エンジニアとして関わる要件と仕様(公開用)
murabayashi
0
280
A Journey of Contribution and Collaboration in Open Source
ivargrimstad
0
890
Better Code Design in PHP
afilina
PRO
0
120
NSOutlineView何もわからん:( 前編 / I Don't Understand About NSOutlineView :( Pt. 1
usagimaru
0
330
見せてあげますよ、「本物のLaravel批判」ってやつを。
77web
7
7.7k
Macとオーディオ再生 2024/11/02
yusukeito
0
370
광고 소재 심사 과정에 AI를 도입하여 광고 서비스 생산성 향상시키기
kakao
PRO
0
170

Featured

See All Featured
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
27
840
The Pragmatic Product Professional
lauravandoore
31
6.3k
Raft: Consensus for Rubyists
vanstee
136
6.6k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
250
21k
What's new in Ruby 2.0
geeforr
343
31k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
10
720
GitHub's CSS Performance
jonrohan
1030
460k
Gamification - CAS2011
davidbonilla
80
5k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
42
9.2k
The Language of Interfaces
destraynor
154
24k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
26
2.1k
Keith and Marios Guide to Fast Websites
keithpitt
409
22k

Transcript

  1. Copyright © EC-CUBE CO.,LTD. All Rights Reserved. ECサイトの脆弱性診断をいい感じにしたい @kiy0taka オワスプナイトカンサイ

    2022.07 ~あつまろう関西~

  2. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. 自己紹介 • 奥 清隆

    (おく きよたか) • kiy0taka (git.io/K) • CTO@株式会社イーシーキューブ

  3. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. EC-CUBEの脆弱性診断 • OSS開発時の診断 –

    有償ツールでの脆弱性スキャン – セキュリティ専門企業による脆弱性診断 – VAddyでのE2Eテストを流用した脆弱性診断 • イーシーキューブ社以外でも利用しやすいものがないか? – オープンな仕組みで – コストがあまり掛からないように – 多くの人が使えるように

  4. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. 今日のお話 • ECサイトというかEC-CUBEの脆弱性診断をいい感じにしたい •

    そのためにOWASP ZAPを使ったりしている内容を紹介して 褒められたい ご意 見いただきたい

  5. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. ぼくがかんがえたさいきょうのEC-CUBE脆弱性診断 • OWASP ZAPで

    • マルチステップスキャンしたい • 自動化したい • セットアップに時間かけたくない

  6. マルチステップスキャンしたい

  7. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. マルチステップスキャン • 複数の画面遷移しないと辿れない画面へのアクティブスキャン •

    例)ECサイトでの購入フロー 1. 商品ページにアクセス 2. 商品をカートに入れる 3. レジに進む 4. 配送情報や支払い方法などを入力する 5. 確認する 6. 購入完了 いきなり4.のPOSTリクエストに対してアクティブスキャンできない -> 画面遷移エラーになるだけ • マルチステップスキャン=画面遷移しながらアクティブスキャンする

  8. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. マルチステップスキャン • 例えば、3つの画面を遷移するマルチステップがあるとする •

    パストラバーサルを検知するため各リクエストで100パターン攻撃するとする • 攻撃を含まない通常のリクエストをそれぞれreq1、req2、req3とする • 画面遷移時の攻撃リクエストをpt2(1)からpt2(100)、pt3(1)からpt3(100)とする 画面1 リクエスト 画面2 リクエスト 画面3 リクエスト req1 pt2(1) req(3) req1 pt2(2) req(3) … req1 pt2(100) req(3) req1 req2 pt3(1) req1 req2 pt3(2) … req1 req2 pt3(100)

  9. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. OWASP ZAP Sequence アドオン

    • マルチステップスキャンできるアドオン • 使い方 – Sequenceタイプのスクリプトを作成 – Zest形式でマルチステップを記述する – スクリプトに対してアクティブスキャン実行

  10. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. Sequence スクリプトの良い点1 • 各ステップでアサーションを定義できるのでアクティブスキャン実行前に

    Sequeceスクリプトを実行してすべてのアサーションが通るか確認できる • もしアサーションが通らない場合は、アプリケーションに変更が入って Sequenceスクリプトがそれに対応していないことを発見できる

  11. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. • マルチステップスキャンにすることで、アプリケーショションに変更を加えな くてもアクティブスキャンができるようになる •

    例えば、削除処理が実行されるリクエストに対してアクティブスキャンしたい とき、実際にはデータを削除されないようにパッチを当てておかないといけな い • データの登録から削除までの一連のステップをSequenceスクリプトにしておけ ばパッチを当てずにアクティブスキャンできる • 時間はかかるが放置できる Sequence スクリプトの良い点2

  12. Copyright © EC-CUBE CO.,LTD. All Rights Reserved. Sequenceアドオン最強!

  13. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. • Cookieを送信してくれない問題 – https://github.com/zaproxy/zaproxy/issues/2634

    • カートに入れてカート画面に行ってもCookieを送信してないのでカートは空 • 2016年のIssueが解決されないままクローズされてた • マルチステップスキャンなんてできなかった ではなかった。。

  14. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. 修正した。 • いろいろ修正 –

    zaproxy – zap-extensions – zest • まだプルリク出せてない – ちょっと強引な箇所とか – Cookie送れない問題以外にもまとめて修正しちゃってるので分けないと – とりあえず自分のやりたいこと優先してしまった

  15. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. ぼくがかんがえたさいきょうのEC-CUBE脆弱性診断 • OWASP ZAPで

    • マルチステップスキャンしたい • 自動化したい • 使いやすいものにしたい ✔ ✔

  16. 自動化したい

  17. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. 自動化したい • Automation Framework

    • OWASP ZAPで行う様々な処理をYAMLで定義してCLIで実行できる ./zap.sh -cmd -autorun saikyouno_scan.yaml • あとはGitHub Actionsで定期実行 – アプリケーションの修正を定期的にスキャン – アプリケーションに変更がなくてもOWASP ZAPが更新されることで新し い脆弱性を検知できる

  18. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. 自動化したい • Sequenceスクリプトを実行 •

    Assertionが通ってるのを確認 • Sequenceスクリプトのアクティブスキャン • レポート作成 • リスク高のアラートがないことを確認

  19. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. Automation Framework • Sequenceスクリプトを実行

    スクリプト実行はStandalon or Targetedのみ • Assertionが通ってるのを確認 機能なし • Sequenceスクリプトのアクティブスキャン 機能なし • レポート作成 • リスク高のアラートがないことを確認  機能なし ✗ ✗ ✗ ✗ ✔

  20. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. 実装した。 • Sequenceスクリプトを実行 Scriptアドオン修正

    • Assertionが通ってるのを確認 あとでやる • Sequenceスクリプトのアクティブスキャン Sequenceアドオンに実装した • レポート作成 • リスク高のアラートがないことを確認  Standaloneスクリプトでやる とりあえずよしとする。 プルリクエストはまだ出せてない ✔ ✗ ✔ ✔ ✔

  21. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. GitHub Actionsの壁 • 6時間制限

    – マルチステップスキャンは時間がかかる – self-hosted runner使えば回避できるけど • ディスク容量不足 – すべてのリクエスト/レスポンス結果を保存する – 画像アップロードするステップとか大量の画像が保存される – self-hosted runner使えば回避できるけど

  22. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. GitHub Actionsの壁 • 6時間制限

    – マルチステップスキャンのステップが多くならないようにする • ディスク容量不足 – アクティブスキャンを実行してる裏で不要になったデータは削除する – 1pxの画像とを使ってリクエストが小さくなるようにする – リクエスト/レスポンスがすべて保存されるのは回避できない – ステップを少なくするのはディスク容量節約にもなる

  23. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. ※失敗してるのは誤検知に対する Alert Filter設定できていないだけ できた!

  24. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. ぼくがかんがえたさいきょうのEC-CUBE脆弱性診断 • OWASP ZAPで

    • マルチステップスキャンしたい • 自動化したい • セットアップに時間かけたくない ✔ ✔ △

  25. 自動化したい

  26. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. セットアップに時間かけたくない • なんとかOWASP ZAPでいい感じになりそうなとこまで来たが。

    • これを使うには、 – 使い方の学習 – 環境のセットアップ – Sequenceスクリプトの作成 – etc. • まだまだ使えるようになるまでのコストが掛かる

  27. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. • EC-CUBE用のOWASP ZAPアドオン開発 –

    各種設定を簡単にできるウィザード – スキャン漏れのURLが確認できる機能 – 追加されたパラメーターの漏れがないか確認できる機能 – etc. セットアップに時間かからないように

  28. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. ぼくがかんがえたさいきょうのEC-CUBE脆弱性診断 • OWASP ZAPで

    • マルチステップスキャンしたい • 自動化したい • セットアップに時間かけたくない これからやるところ ✔ ✔ △ ✗

  29. Copyright © EC-CUBE CO.,LTD.All Rights Reserved. 俺たちの戦いはこれからだ! • EC-CUBEの次回作にご期待ください。 •

    ご清聴ありがとうございました。

  30. https://www.ec-cube.net/events/release4.2/bugbounty2022.php 【PR】