Slide 1

Slide 1 text

@YuhoKameda

Slide 2

Slide 2 text

ykame (@YuhoKameda) ZAP Evangelist Hardening競技 参加歴 2012/10 Hardening One(チーム枠) 2013/07 Hardening One Remix(Ping枠) 2014/06 Hardening 10 APAC(Ping枠) 2014/11 Hardening 10 Evolutions 2015/06 Hardening 10 MarketPlace(MP4)

Slide 3

Slide 3 text

診断 •脆弱性が無いか探す 特定 •脆弱性を見つける •見つけた脆弱性を把握する 対策 •見つけた脆弱性を修正する 対策してこそのHardening!

Slide 4

Slide 4 text

本スライドに記載の行為を、自身の管理下にな いネットワーク/コンピュータに行った場合、攻撃 行為と判断される場合があります。 自身の管理下にあるネットワークやサーバに対し てのみ行うようにしてください。

Slide 5

Slide 5 text

OWASP ZAPのインストール OWASP ZAP 2.4.1(2015/7/30 released) 診断ツール OWASP BWAのインストール OWASP BWA 1.2 (2015/8/3 released) 診断対象となるアプリケーション 実際に帰宅してから試してみてください! 準備の詳細は、下記で。 http://zapjp.blogspot.jp/

Slide 6

Slide 6 text

OWASP ZAP (Zed Attack Proxy) Webアプリケーションを簡単に「脆弱性診断」するこ とができるツール ローカルプロキシツール https://code.google.com/p/zaproxy/ https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

Slide 7

Slide 7 text

OWASP Broken Web Application (BWA) 脆弱なWebアプリケーションの詰め合わせ Java / ASP / PHP / Ruby on Rails… https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project

Slide 8

Slide 8 text

BWAの中にある、古いWordpressを対象 Wordpress 2.0.0 最新は4.3 (2015/8/19)

Slide 9

Slide 9 text

古すぎてアラートだらけ

Slide 10

Slide 10 text

診断対象範囲を決定 Include In Context 特定ディレクトリ配下だけ診断が可能

Slide 11

Slide 11 text

対象をクローリング(スパイダー) 開始したいページを選択 スキャン開始!

Slide 12

Slide 12 text

結果… 大量に抽出できた!

Slide 13

Slide 13 text

動的スキャン 開始したいページを選択 スキャン開始!

Slide 14

Slide 14 text

ポートスキャンでオープンポートを特定

Slide 15

Slide 15 text

Hardening競技には、脆弱なアプリがいっぱい Wordpressの古いバージョン EC-CUBEの古いバージョン Zen Cartの古いバージョン … 脆弱なサーバ・ミドルウェアもいっぱい DNSサーバの設定不備 Bashの古いバージョン OpenSSLの古いバージョン …

Slide 16

Slide 16 text

バージョンが古い… 最新バージョンを確認 バージョンアップやパッチを適用しよう! コードがボロボロ… コードを修正しよう! 設定がデフォルトのまま… 適切に設定しよう! 各役割に合った対応を! ・マネージャー ・Webアプリ開発者 ・ネットワーク管理者 ・インシデント対応経験者 など

Slide 17

Slide 17 text

診断 •脆弱性が無いか探す 特定 •脆弱性を見つける •見つけた脆弱性を把握する 対策 •見つけた脆弱性を修正する

Slide 18

Slide 18 text

攻撃を受けて対策するだけがHardening競技 じゃない! 事前に管理するサーバ・Webアプリの脆弱性を 把握し、対策を検討しよう 自前でWebアプリを診断 診断サービスを活用 協力して対策を実施できることを目指そう

Slide 19

Slide 19 text

無料のツールでセキュリティを意識したい! http://www.slideshare.net/zaki4649/free-securitycheck

Slide 20

Slide 20 text

脆弱性診断の基本手法 無料で手間がかからない! インフラ編 ポートスキャン 脆弱性スキャン Webアプリケーション編 自動診断 ZAPの機能紹介 実際に検出する脆弱性の事例

Slide 21

Slide 21 text

MP4によるWordPress向けの対策マニュアル WordPressの検証環境を構築するスクリプト公開 https://speakerdeck.com/tsb/20

Slide 22

Slide 22 text

脆弱性診断士(Web アプリケーション)スキル マップ プロジェクト 2014 OWASP Japan / JNSAのISOG-J による共同WG 脆弱性診断士に必要な能力のマッピング プログラマからネットワーク知識、倫理観まで 2014/12/24 「脆弱性診断士(Webアプリケーション)スキルマップ」公開 https://www.owasp.org/index.php/Japan http://isog-j.org/output/2014/about-pentester-web-skillmap-201412.pdf