MINI Hardening #1.2 20分LT　ZAPを使ったHardening対策術 2015/8/29

Slide 1

Slide 1 text

@YuhoKameda

Slide 2

Slide 2 text

ykame (@YuhoKameda) ZAP Evangelist Hardening競技参加歴 2012/10 Hardening One(チーム枠) 2013/07 Hardening One Remix(Ping枠) 2014/06 Hardening 10 APAC(Ping枠) 2014/11 Hardening 10 Evolutions 2015/06 Hardening 10 MarketPlace(MP4)

Slide 3

Slide 3 text

診断 •脆弱性が無いか探す特定 •脆弱性を見つける •見つけた脆弱性を把握する対策 •見つけた脆弱性を修正する対策してこそのHardening！

Slide 4

Slide 4 text

本スライドに記載の行為を、自身の管理下にないネットワーク/コンピュータに行った場合、攻撃行為と判断される場合があります。自身の管理下にあるネットワークやサーバに対してのみ行うようにしてください。

Slide 5

Slide 5 text

OWASP ZAPのインストール OWASP ZAP 2.4.1(2015/7/30 released) 診断ツール OWASP BWAのインストール OWASP BWA 1.2 (2015/8/3 released) 診断対象となるアプリケーション実際に帰宅してから試してみてください！準備の詳細は、下記で。 http://zapjp.blogspot.jp/

Slide 6

Slide 6 text

OWASP ZAP (Zed Attack Proxy) Webアプリケーションを簡単に「脆弱性診断」することができるツールローカルプロキシツール https://code.google.com/p/zaproxy/ https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

Slide 7

Slide 7 text

OWASP Broken Web Application (BWA) 脆弱なWebアプリケーションの詰め合わせ Java / ASP / PHP / Ruby on Rails… https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project

Slide 8

Slide 8 text

BWAの中にある、古いWordpressを対象 Wordpress 2.0.0 最新は4.3 (2015/8/19)

Slide 9

Slide 9 text

古すぎてｱﾗｰﾄだらけ

Slide 10

Slide 10 text

診断対象範囲を決定 Include In Context 特定ディレクトリ配下だけ診断が可能

Slide 11

Slide 11 text

対象をクローリング(スパイダー) 開始したいページを選択スキャン開始！

Slide 12

Slide 12 text

結果… 大量に抽出できた！

Slide 13

Slide 13 text

動的スキャン開始したいページを選択スキャン開始！

Slide 14

Slide 14 text

ポートスキャンでオープンポートを特定

Slide 15

Slide 15 text

Hardening競技には、脆弱なアプリがいっぱい Wordpressの古いバージョン EC-CUBEの古いバージョン Zen Cartの古いバージョン … 脆弱なサーバ・ミドルウェアもいっぱい DNSサーバの設定不備 Bashの古いバージョン OpenSSLの古いバージョン …

Slide 16

Slide 16 text

バージョンが古い… 最新バージョンを確認バージョンアップやパッチを適用しよう！コードがボロボロ… コードを修正しよう！設定がデフォルトのまま… 適切に設定しよう！各役割に合った対応を！・マネージャー・Webアプリ開発者・ネットワーク管理者・インシデント対応経験者など

Slide 17

Slide 17 text

診断 •脆弱性が無いか探す特定 •脆弱性を見つける •見つけた脆弱性を把握する対策 •見つけた脆弱性を修正する

Slide 18

Slide 18 text

攻撃を受けて対策するだけがHardening競技じゃない！事前に管理するサーバ・Webアプリの脆弱性を把握し、対策を検討しよう自前でWebアプリを診断診断サービスを活用協力して対策を実施できることを目指そう

Slide 19

Slide 19 text

無料のツールでセキュリティを意識したい！ http://www.slideshare.net/zaki4649/free-securitycheck

Slide 20

Slide 20 text

脆弱性診断の基本手法無料で手間がかからない！インフラ編ポートスキャン脆弱性スキャン Webアプリケーション編自動診断 ZAPの機能紹介実際に検出する脆弱性の事例

Slide 21

Slide 21 text

MP4によるWordPress向けの対策マニュアル WordPressの検証環境を構築するスクリプト公開 https://speakerdeck.com/tsb/20

Slide 22

Slide 22 text

脆弱性診断士（Web アプリケーション）スキルマッププロジェクト 2014 OWASP Japan / JNSAのISOG-J による共同WG 脆弱性診断士に必要な能力のマッピングプログラマからネットワーク知識、倫理観まで 2014/12/24 「脆弱性診断士(Webアプリケーション)スキルマップ」公開 https://www.owasp.org/index.php/Japan http://isog-j.org/output/2014/about-pentester-web-skillmap-201412.pdf