Web Application Hardening

8FC"QQMJDBUJPO)BSEFOJOHᶃ 4BOPTVLF,BUP Ճ౻ࠤ೭ี ,P'VKJXBSB ౻ݪ޼ ϓϥοτϑΥʔϜηΩϡϦςΟΞγϡΞϥϯεάϧʔϓ

ߨࢣՃ౻ࠤ೭ี4BOPTVLF,BUP ‣ ೥౓৽ଔೖࣾ೥໨ ‣࢓ࣄओʹ8FC੬ऑੑ਍அ ࡢ೥͸944ͷݕࠪ޻਺௿ݮ͢ΔπʔϧΛ։ൃ ‣झຯ'؍ઓɺڝϓϩʢݱࡏ͸Ҿୀؾຯʣ ‣ࠓ΍Γ͍ͨ͜ͱ 3VTUೖ໳

)BSEFOJOHͱ͸ʁ 8FC"QQMJDBUJPO)BSEFOJOH ΢ΣϒΞϓϦέʔγϣϯΛ ݎ࿚ʹ͢Δ

)BSEFOJOHͱ͸ʁ ͢΂ͯͷ੬ऑੑΛҰܸͰແޮԽ͢Δख๏

)BSEFOJOHͱ͸ʁ 8FC"QQMJDBUJPO)BSEFOJOH ΢ΣϒΞϓϦέʔγϣϯΛ ݎ࿚ʹ͢Δ ཁ݅Λຬͨͭͭ͠

͜ͷݚमͷ֓ཁ ‣ΞϓϦͷཁ݅Λຬͨͭͭ͠ɺݎ࿚ʹ͠·͢ ‣ΦϦδφϧͷ8FCΞϓϦͷ੬ऑੑΛ୳͠ग़͠ɺνʔϜʹผΕͯम ਖ਼͠·͢ ‣ߨٛͷճ໨ͷޙ൒ɺमਖ਼ͨ͠8FCΞϓϦʹߨࢣਞ͕߈ܸΛ࢓ֻ͚ ͯɺमਖ਼ঢ়گΛϞχλϦϯά͠·͢ɻ

νʔϜ෼͚ൃද ࣾ಺ݶ

ߨٛͷεέδϡʔϧ ۚ ߨٛͷઆ໌ ؀ڥߏங ͓னٳΈ
੬ऑੑͷௐࠪ Ր ੬ऑੑͷमਖ਼ ͓னٳΈ ੬ऑੑͷमਖ਼ ੬ऑੑͷղઆ ߨٛͷઆ໌ ੬ऑੑͷௐࠪ

8FCΞϓϦʹ͍ͭͯ ‣QIQͰ࡞ΒΕͨ؆қ&$αΠτ ‣ιʔείʔυ͸HIF্Ͱ͓͍͍ͯ·͢ɻ .BJMIPH GUQ

⾠஫ҙࣄ߲ ‣ଞͷडߨੜʹରͯ͠߈ܸΛ࢓ֻ͚ͳ͍͜ͱ ‣ීஈͷύεϫʔυ΍ϝʔϧΞυϨεΛ࢖༻͠ͳ͍͜ͱ ‣ߨٛͷճ౴͸ൿີʹ͢Δ͜ͱ (JU)VCͳͲͰ؅ཧ͢Δ৔߹͸1SJWBUFʹ͍ͯͩ͘͠͞ɻ ‣͜ͷߨٛͷࣗश͸ɺଞͷߨٛதʹ͠ͳ͍Ͱ͍ͩ͘͞ʂ

⾠஫ҙࣄ߲ʢຊߨٛதʹݶΒͣؾΛ͚ͭΔ͜ͱʣ ‣ ڐՄ͞Εͨ8FCαΠτҎ֎ͷ੬ऑੑΛ߈ܸ͠ͳ͍͜ͱʢෆਖ਼ΞΫηεېࢭ ๏ʣ ‣ ਖ਼౰ͳཧ༝ͳ͘Ϛϧ΢ΣΞΛऔಘɾอ༗͠ͳ͍͜ͱʢෆਖ਼ࢦྩి࣓తه࿥ʹ ؔ͢Δࡑʣ ษڧ໨తͰ͋ͬͯ΋๏ʹ৮ΕΔڪΕ͕͋Γ·͢
‣ Πϯλʔωοτ্Ͱ഑෍͞ΕΔιϑτ΢ΣΞͷར༻࣌ʹ͸ɺͦΕΒͷ৴པੑ Λࣄલʹ֬ೝ͢Δ͜ͱʢ৘ใηΩϡϦςΟରࡦج४ʣ ѱੑͷ߈ܸπʔϧͷར༻͕ݕ஌͞Εͨ৔߹ɺ1$ॳظԽΛ͓ئ͍͢Δ͜ͱʹ ͳΓ·͢

͜Ε͔Βͷ࡞ۀํ๏ ‣νʔϜ͝ͱʹผΕͯɺ֤ࣗखΛಈ͔͍͖ͯͨͩ͠·͢ νʔϜ಺Ͱॿ͚߹͍ͳ͕ΒਐΊͯΈ͍ͯͩ͘͞ ‣࡞ۀ͸֤νʔϜ͝ͱʹɺ4MBDL$BMM )VEEMFͰܨ͗ͳ͕Βͷ࡞ۀΛ͓ئ ͍͠·͢ ‣ߨࢣਞ͕ɺఆظతʹΈͳ͞Μͷ࡞ۀ௨࿩ʹ͓अຐ͠·͢
զʑ͕ࢀՃՄೳͳ৔ॴͰ࡞ۀ௨࿩Λ͓ئ͍͠·͢ νʔϜͰग़ࣾ͞Ε͍ͯΔ৔߹͸ɺߨࢣͱͷ࿈བྷ༻ʹ୭͔Ұਓͷ1$Ͱ௨࿩Λ଴ͪड͚ͭ ͭ࡞ۀΛਐΊ͍͚ͯͨͩΔͱॿ͔Γ·͢

$IFDL$IFDL ؀ڥߏஙόοΫΤϯυͷมߋ൓ө

ϩʔΧϧ؀ڥͷ੔උ֤छίϚϯυͷΠϯετʔϧ ‣%PDLFS $ brew install docker $ brew install
docker --cask $ open Applicaions/Docker.app ‣OQN $ brew install npm

ϩʔΧϧ؀ڥͷ੔උόοΫΤϯυͷ४උ $ git clone https://ghe.misosiru.io/rtc-platsec-group/ ponkotsu_store_2022_team{1,2,3,4} $ cd ponkotsu_store_2022_team{1,2,3,4}
$ make install $ make build $ make start

$IFDLϩάΠϯͰ͖Δ͔֬ೝͯ͠Έ·͠ΐ͏ ‣OBNFBENJO QBTTXPSEBENJO ‣͜Ε͕ऴΘͬͨΒ৽نొ࿥΍঎඼ͷߪೖͳͲ΋ࢼͯ͠Έ·͠ΐ͏ɻ IUUQMPDBMIPTUNBJMIPH IUUQMPDBMIPTU

$IFDLϩʔΧϧͷมߋ͕൓ө͞ΕΔ͔֬ೝͯ͠Έ·͠ΐ͏ ‣-PHJO$POUSPMMFSQIQͷʮϢʔβʔ໊·ͨ͸ύεϫʔυ͕ؒҧͬ ͍ͯ·͢ʯΛ޷͖ͳจࣈྻʹॻ͖׵͑ͯΈ·͠ΐ͏ ؒҧ͑ͨJEQBTTͰϩάΠϯ͠Α͏ͱ͢Δͱग़Δɻ TSDBQQ)UUQ$POUSPMMFST-PHJO$POUSPMMFSQIQ

$IFDL ϑϩϯτΤϯυ

ϩʔΧϧ؀ڥͷ੔උWVFͷιʔείʔυΛมߋͨ࣌͠ $ cd ponkotsu_store_2022_team{1,2,3,4} $ # ͜͜ͰιʔείʔυΛมߋ͢Δɻ $ make
npmbuild

$IFDLWVFͷιʔείʔυΛมߋͯ͠ΈΑ͏ ‣NBLFOQNCVJMEΛ๨Εͳ͍Α͏ʹʂ ‣TVQFSSFMPBE $PNNBOE TIJGU S ͠ͳ͍ͱ൓ө͠ͳ͍͔΋ ‣-PHJO$PNQPOFOUWVFͷϑΝΠϧΛॻ͖׵͑ͯΈΑ͏ ͜͜ͷจࣈΛม͑ΒΕΔ
TSDSFTPVSDFTKTDPNQPOFOUT-PHJO$PNQPOFOUWVF

$IFDL ίϯςφ಺Ͱͷ࡞ۀ

ϩʔΧϧ؀ڥͷ੔උόοΫΤϯυͷ४උ $ make start # (͢Ͱʹstart͍ͯ͠ΔͳΒলུՄೳ) $ make attach
/var/www/laravel # ͜͜Ͱ޷͖ͳίϚϯυΛೖྗ͢Δ͜ͱ͕Ͱ͖Δɻ

$IFDLίϯςφ಺ͰίϚϯυΛ࣮ߦͯ͠ΈΑ͏ /var/www/laravel # php artisan tinker

$IFDL ϛυϧ΢ΣΞઃఆͷมߋ

"QBDIF౳ͷมߋɺ%#ͷ4FFEมߋΛͨ͠৔߹ɺEPDLFSCVJME͕ඞཁ $ cd ponkotsu_store_2022_team{1,2,3,4} $ # ϛυϧ΢ΣΞͷઃఆมߋ౳ $ make
dockerbuild $ make restart QIQϑΝΠϧͷมߋɺWVFϑΝΠϧͷมߋͰ͸CVJME͸ෆཁͰ͢ɻ Ϛ΢ϯτ͍ͯ͠ΔͷͰ

$IFDLBQBDIFϑΝΠϧΛมߋͯ͠൓ө͞ΕΔ͔֬ೝͯ͠ΈΑ͏ %PDVNFOU3PPUΛWBSXXXMBSBWFMQVCMJD͔Β WBSXXXMBSBWFMʹมߋͯ͠ΈΔ MPDBMIPTUͰ͸'PSCJEEFO QVCMJDMPHJOͰ͸ϩάΠϯը໘͕ग़Δ BQBDIFQPOLPUTV@TUPSFDPOG

αʔόʔΛམͱ͍ͨ͠ͱ͖

αʔόʔΛམͱ͍ͨ࣌͠ $ make clean ‣ҎԼίϚϯυͰίϯςφ͕SN͞Ε·͢ɻ ‣Πϝʔδ͸࢒Γ·͢ɻ ΠϝʔδΛফ͍ͨ͠৔߹͸.BLFpMF͍͡Δ͔ EPDLFSίϚϯυୟ͍͍ͯͩ͘͞

$IFDL ϦϞʔτ؀ڥʹσϓϩΠͯ͠ΈΑ͏

$IFDLϦϞʔτ؀ڥʹσϓϩΠͯ͠ΈΑ͏ ‣HIFʹίϛοτ͢Δͱɺࣗಈతʹαʔόʔ͕ߋ৽͞Ε·͢ɻ ‣͍··ͰͷมߋΛࢼ͠ʹQVTIͯ͠൓өͤͯ͞Έ·͠ΐ͏ ‣஫ϑϩϯτ͸BQQKTΛNBLFOQNCVJMEͯ͠DPNNJUQVTI͢Δඞཁ͕͋Γ·͢ɻ

ͱΓ͋͑ͣ͜͜·Ͱ௨Ε͹0, ! ͦͷଞͳʹ͔ࠔͬͨ͜ͱ͕͋Ε͹ ؾܰʹݺΜͰ͍ͩ͘͞ɻ

ϚδοΫϦϯΫʹؔ͢Δػೳͷ࣮૷ϛεʹؔͯ͠ ‣ϦϞʔτͷ؀ڥͰϚδοΫϦϯΫΛ࡞੒͢ΔͱIUUQ MPDBMIPTUIPHFGVHBQJZPMPHJOͷΑ͏ͳ63-͕ੜ੒͞Εͯ ͠·͍·͢ɻ ‣υϝΠϯ໊ΛखಈͰม͍͚͑ͯͨͩΕ͹ͱࢥ͍·͢ɻ ྫIUUQQPOLPUTVTUPSFUFBNYBMCYYYYYYYYYBQ OPSUIFBTUFMCBNB[POBXTDPNIPHFGVHBQJZPMPHJO

ݕࠪର৅ͱ͢Δ੬ऑੑ ࣈ͕খ͍͞ͷͰखݩͰ֬ೝ͍ͯͩ͘͠͞ ‣ݕࠪର৅͸5$1͔ΒΞΫηεͰ͖Δɺ.BJM)PHΛআ͍ͨ͢΂ͯͷػೳʹͳΓ·͢ɻ ࣮ࡍʹ͸ϝʔϧ͸ૹ৴͞Ε͍ͯ·ͤΜ͕ɺૹ৴͞Ε͍ͯΔͱࢥͬͯ։ൃ͍ͯͩ͘͠͞ɻ ‣ຊߨٛͰ͸ɺϏδωεϦεΫ͕ߴ͍੬ऑੑͷΈΛର৅ͱ͍ͯ͠·͢ ಛʹهࡌ͞Ε͍ͯͳ͍৔߹ɺ؅ཧऀ͕8FCΛૢ࡞ͯ͠Ͱ͖Δ΋ͷ΋ؚΈ·͢ɻ ೚ҙίʔυ࣮ߦͳͲ
w ೚ҙίʔυ࣮ߦ w ೚ҙ04ίϚϯυ࣮ߦ w ҰൠϢʔβʔʹଞͷϢʔβʔͷݸਓ৘ใ͕࿙Ӯ ϝʔϧΞυϨεɺύεϫʔυ w ଞͷϢʔβʔͷฏจύεϫʔυ͕࿙Ӯ w σʔλϕʔεෆਖ਼ૢ࡞ w ଞਓͷϢʔβʔʹͳΓ͢·ͯ͠঎඼͕ߪೖͰ͖Δ w ࢒ߴΛෆਖ਼ʹૢ࡞͢Δ͜ͱ͕Ͱ͖Δ w ෆਖ਼ͳߪೖ ࢒ߴෆ଍ͳͷʹߪೖͰ͖ΔͳͲ w αʔόʔͷ೚ҙϑΝΠϧ͕ಡΈग़ͤΔ ྫFOWϑΝΠϧ΍FUDQBTTXEϑΝΠϧ͕ಡΈग़ͤͨΒμϝ w ଞͷϢʔβʔͷϒϥ΢βͰ೚ҙͷKBWBTDSJQU͕࣮ߦͰ͖Δ w ଞਓͷύεϫʔυΛมߋ͢Δ͜ͱ͕Ͱ͖Δ

ؾʹ͠ͳ͍ऑ఺ ‣ҎԼͷऑ఺͕ଘࡏͯ͠΋औΓѻ͍͸͠·ͤΜɻ wτʔΫϯ͕ແظݶ࢖༻Մೳ wτʔΫϯ͕࠶ར༻Մೳ w$PPLJF͕)5510OMZͰ͸ͳ͍ w$43'τʔΫϯ͕ͳ͍ wαʔόʔͷϦιʔεΛա৒ফඅ͢Δ͜ͱʹΑΔ%P4߈ܸ wηογϣϯτʔΫϯ͕ແظݶ࢖༻Մೳ wϩάΠϯ࠶ࢼߦ࣌ؒͷ੍ݶ͕ͳ͍

੬ऑੑΛݟ͚ͭͯΈΑ͏

‣ͳʹ͔Ұͭ੬ऑੑΛݟ͚ͭͨΒڭ͑ͯԼ͍͞ ʢ؆୯ͳ΋ͷͰେৎ෉Ͱ͢ʣ ੬ऑੑΛݟ͚ͭͯΈΑ͏

͓·͚

)JOU ύε ϝιου ϏδωεϦεΫ͕ߴ͍੬ऑੑͷ਺ BQJMPHJO 1045 BQJDSFBUF 1045
BQJTFBSDI 1045 BQJVTFSBMM (&5 BQJCVZ 1045 BQJGPSHFUSFTFUQBTT 1045 BQJJNBHF (&5 BQJHPPET\JE^ (&5 BQJSFWJFX 1045 BQJPQUJPO 165 BQJNBHJDMJOLTFOE 1045 ͦͷଞ

8FC"QQͷ࢓༷ॻ ΞϓϦͷ࢓༷͸େࡶ೺ͳ΋ͷͰ͢ ΞϓϦΛݎ࿚ʹ͢Δ্Ͱඞཁ͕͋Ε͹ɺ࢓༷͝ͱมߋͯ͠ߏ͍·ͤΜɻ ͋·Γʹେ͖͗͢Δ࢓༷มߋ͸ݮ఺ʹͳΔՄೳੑ͕͋Γ·͢ɻ ΞϓϦͷςετ͸ਓྗͰߦ͏ͷͰɺਓྗͰಉ౳ͷૢ࡞Λߦͬͯಉ౳ͷ݁Ռ͕ಘΒΕΕ͹0,ͱ͠·͢ɻ OPUF

ը໘ભҠ

༗ޮͳ ηογϣϯ*%Λ ͍࣋ͬͯͳ͍৔߹ '4ϩάΠϯը໘ '4Ϣʔβʔ࡞੒ը໘ '4ύεϫʔυ๨Εը໘ '4ϚδοΫϦϯΫૹ৴

ϩάΠϯϘλϯ ΫϦοΫ ༗ޮͳ ηογϣϯ*%Λ ͍࣋ͬͯΔ৔߹ '4؅ཧऀը໘ '4ϝʔϧຊจઃఆը໘ '4ϩάΠϯը໘ '4Ϣʔβʔϖʔδ
'4τοϓը໘ '4঎඼ৄࡉϖʔδ '4ߪೖը໘

"1*࢓༷ େࡶ೺ͳ΋ͷͳͷͰɺࢀߟఔ౓ʹ

'4ϩάΠϯը໘ MPHJO ‣ ϩάΠϯ໊ͱύεϫʔυͰϩάΠϯՄೳͱ͢Δ ‣ ϩάΠϯϘλϯΛԡ͢ͱɺϩάΠϯΛϙετ͢Δ ‣ ϩάΠϯ '
͕ਖ਼ৗऴྃͨ͠Βτοϓը໘ '4 ʹભҠ͢Δ ‣ ϩάΠϯ ' ͕ҟৗऴྃͨ͠Βฦ٫͞ΕͨΤϥʔจݴΛදࣔ͢Δ ‣ τοϓը໘ '4 ʹભҠ͢Δ

'ϩάΠϯ"1* 1045BQJMPHJO 1045BQJMPHJO ϦΫΤετϘσΟ VTFSϩάΠϯ໊ ඞਢɾจࣈྻ QBTTXPSEύεϫʔυ ඞਢɾจࣈྻ
Ϩεϙϯείʔυ ਖ਼ৗऴྃ ҟৗऴྃ ϨεϙϯεϘσΟ ਖ਼ৗऴྃ࣌ TFTTJPO@JEηογϣϯ*% BENJO؅ཧऀ ͦΕҎ֎ ҟৗऴྃ࣌ NFTTBHFࣦഊཧ༝ උߟ ηογϣϯ*%Λ$PPLJFʹه࿥͢Δ BENJO ؅ཧऀ͔Ͳ͏͔ ΛϩʔΧϧετϨʔδʹอଘ͢Δ

'4τοϓը໘ ‣ ༗ޮͳηογϣϯ*%Λอ༗͍ͯ͠ͳ͍৔߹ɺϩάΠϯը໘ '4 ʹભҠ͢Δ ‣ ը໘දࣔ࣌ɺ঎඼Ұཡऔಘ"1* '
Λୟ͍ͯ঎඼ͷҰཡΛऔಘɾදࣔ͢Δ ‣ ݕࡧϘλϯΛԡ͢ͱɺݕࡧͨ͠จࣈྻΛؚΉ঎඼ͷΈΛߜΓࠐΈɺͳ͓͔ͭ஋ஈॱͰιʔτ͢Δ ' ‣ ঎඼Λબ୒͢Δͱɺ঎඼ৄࡉϖʔδ '4 ʹભҠ͢Δ ‣ "%.*/ϘλϯͰ؅ཧऀը໘ '4 ભҠ͢Δ ‣ 015*0/ϘλϯͰϝʔϧຊจઃఆը໘ '4 ʹભҠ͢Δ ‣ ϩάΞ΢τϘλϯΛԡ͢ͱϩάΞ΢τ ' Λ࣮ߦ͢Δ ‣ ӈ্ͷΞΠίϯΫϦοΫͰϢʔβʔϖʔδ '4 ʹભҠ͢Δ

'঎඼औಘ"1* (&5BQJHPPET (&5BQJHPPET Ϩεϙϯείʔυ ϨεϙϯεϘσΟ w HPPET঎඼ͷϦετ
JE঎඼*% UIVNCOBJM঎඼ͷαϜωΠϧͷϑΝΠϧ໊ QSJDFՁ֨ EFTDSJQUJPO঎඼ͷઆ໌

'ը૾औಘ"1* (&5BQJJNBHF (&5BQJJNBHF ΫΤϦύϥϝʔλ pMFऔಘ͢ΔϑΝΠϧ໊ ඞਢɾจࣈྻ
Yը૾ͷԣ෯ ೚ҙ ਺஋ Ҏ্ҎԼͷ੔਺ Zը૾ͷॎ෯ ೚ҙ ਺஋ Ҏ্ҎԼͷ੔਺ Ϩεϙϯείʔυ ਖ਼ৗऴྃ࣌ ҟৗऴྃ࣌ ɿϑΝΠϧ͕ଘࡏ͠ͳ͍ ϨεϙϯεϘσΟ w HPPET঎඼ͷϦετ JE঎඼*% UIVNCOBJM঎඼ͷαϜωΠϧͷϑΝΠϧ໊ QSJDFՁ֨ EFTDSJQUJPO঎඼ͷઆ໌

'4঎඼ৄࡉϖʔδ HPPET\HPPET@JE^ ‣ ঎඼ͷৄࡉ৘ใΛऔಘ͠ ' ɺ঎඼ͷը૾ɺ঎඼໊ɺ঎඼ͷ஋ஈɺϨϏϡʔΛදࣔ͢Δ ‣ ߪೖը໘΁ਐΉϘλϯΛԡ͢ͱɺߪೖը໘ '4
΁ભҠ͢Δ ‣ ϨϏϡʔΛ֤ϘλϯͰϨϏϡʔΛॻ͘μΠΞϩάΛදࣔ͢Δ ‣ Ұ࣌อଘ͞ΕͨϨϏϡʔίϝϯτ͕͋Ε͹ͦͷίϝϯτΛॳظදࣔ͢Δ ‣ ૯߹ධՁͷ੕ΛΫϦοΫ͢Δ͜ͱͰධՁΛมߋ͢Δ ‣ ϨϏϡʔΛهೖ͠ɺૹ৴͢ΔϘλϯΛԡ͢͜ͱͰɺϨϏϡʔΛૹ৴͢Δ ' ‣ ϨϏϡʔ͸0QFO(SBQI1SPUPDPMʹରԠ͍ͯͯ͠ɺ63-ΛషΔͱը૾ΛҰͭදࣔ͢Δ ‣ ϨϏϡʔ͸୯७ͳςΩετΛදࣔ͢Δ΋ͷͱ͢Δ ண৭ػೳ౳͸ෆཁ ‣ ʮϨϏϡʔΛॻ͘ʯը໘Ͱ͸ɺʮҰ࣌อଘ͢ΔʯϘλϯͰίϝϯτΛҰ࣌อଘ͢Δ ' ‣ Ұ࣌อଘͨ͠ঢ়ଶͰ࠶ͼಉ͡঎඼ͷϨϏϡʔΛ։͘ͱɺอଘ͞Εͨೖྗ͞Εͨঢ়ଶͰ։͔ΕΔ

'4঎඼ৄࡉशಘ"1* (&5BQJHPPET\HPPET@JE^ (&5BQJHPPET\JE^ Ϩεϙϯείʔυ ਖ਼ৗऴྃ ҟৗऴྃ ঎඼*%͕ଘࡏ͠ͳ͍
ϨεϙϯεϘσΟ ਖ਼ৗऴྃ࣌ w *E঎඼*% w UJUMF঎඼λΠτϧ w EFTD঎඼ͷઆ໌ w UIVNCOBJM঎඼ͷը૾ϑΝΠϧ໊ w QSJDFՁ֨ w SFWJFXTϨϏϡʔҰཡͷϦετ SBUJOHϨϏϡʔͷϨʔςΟϯά NFTTBHFϨϏϡʔจݴ OBNFϨϏϡʔऀ VQEBUFE@BUϨϏϡʔ೔ ҟৗऴྃ࣌ ͳ͠

'ϨϏϡʔ౤ߘ"1* (&5BQJSFWJFX 1045BQJSFWJFX ϦΫΤετϘσΟ w HPPE@JE঎඼ͷJE ඞਢɾ਺஋
w NFTTBHFϨϏϡʔϝοηʔδ ඞਢɾจࣈྻ w SBUJOHϨʔτ ඞਢɾ਺஋ɾҎ্ҎԼ Ϩεϙϯείʔυ ਖ਼ৗऴྃ ҟৗऴྃ ঎඼*%͕ଘࡏ͠ͳ͍ ϦΫΤετ஋͕ෆਖ਼ɹ ϨεϙϯεϘσΟ ਖ਼ৗऴྃ࣌ ͳ͠ ҟৗऴྃ࣌ NFTTBHFࣦഊཧ༝

'ϝοηʔδҰ࣌อଘ"1* 1045BQJSFWJFXUFNQPSBSZ 1045BQJSFWJFXUFNQPSBSZ ϦΫΤετϘσΟ w HPPE@JE঎඼ͷJE ඞਢɾ਺஋ w
NFTTBHFϨϏϡʔϝοηʔδ ඞਢɾจࣈྻ w SBUJOHϨʔτ ඞਢɾ਺஋ɾҎ্ҎԼ Ϩεϙϯείʔυ ਖ਼ৗऴྃ ҟৗऴྃ ঎඼*%͕ଘࡏ͠ͳ͍ ϦΫΤετ஋͕ෆਖ਼ɹ ϨεϙϯεϘσΟ ਖ਼ৗऴྃ࣌ DPPLJFʹҰ࣌อଘ͞ΕΔϨϏϡʔϝοηʔδ͕ೖΔ ҟৗऴྃ࣌ NFTTBHFࣦഊཧ༝

'4ߪೖը໘ CVZ\HPPET@JE^ ‣ Ϣʔβʔ໊ɺ࢒ߴɺ঎඼৘ใΛऔಘ͠ ' ' දࣔ͢Δɻ ‣ Ϋʔϙϯͱݸ਺Λબ୒͠ɺߪೖ͢Δɻ
‣ Ϋʔϙϯ͸Կ౓Ͱ΋࢖༻Մೳ ‣ ݸ਺͸dݸ·ͰೖྗՄೳ ‣ Ϋʔϙϯ΍ݸ਺Λબ୒͢Δͱɺ߹ܭֹۚΛशಘ ' ͠ɺը໘ʹ൓ө͢Δ ‣ ߪೖϘλϯΛԡ͢ͱߪೖ੒ޭμΠΞϩά͕දࣔ͞ΕΔɻ

'঎඼ܭࢉࢼܭࢉ"1* (&5BQJESZCVZ 1045BQJESZCVZ ϦΫΤετϘσΟ w HPPE@JE঎඼ͷJE ඞਢɾ਺஋ w
DPVOUߪೖݸ਺ ඞਢɾ਺஋ w EJTDPVOUׂҾ཰ ඞਢɾ਺஋ Ϩεϙϯείʔυ ਖ਼ৗऴྃ ҟৗऴྃ ঎඼*%͕ଘࡏ͠ͳ͍ ϨεϙϯεϘσΟ QSJDF߹ܭՁ֨

'ߪೖ"1* (&5BQJESZCVZ 1045BQJESZCVZ ϦΫΤετϘσΟ w HPPE@JE঎඼ͷJE ඞਢɾ਺஋ w
DPVOUߪೖݸ਺ ඞਢɾ਺஋ w EJTDPVOUׂҾ཰ ඞਢɾ਺஋ Ϩεϙϯείʔυ ਖ਼ৗऴྃ ҟৗऴྃ ঎඼*%͕ଘࡏ͠ͳ͍ ϨεϙϯεϘσΟ QSJDF߹ܭՁ֨

'Ϣʔβʔ৘ใशಘ"1* (&5BQJVTFS (&5BQJVTFS Ϩεϙϯείʔυ ਖ਼ৗऴྃ ҟৗऴྃ ༗ޮͳηογϣϯ*%Λอ༗͍ͯ͠ͳ͍
ϨεϙϯεϘσΟ ਖ਼ৗऴྃ࣌ JEϢʔβʔJE FNBJMϝʔϧΞυϨε OBNFϢʔβʔ໊ DPVQPOTอ༗Ϋʔϙϯ*%ͷҰཡ DPVQPO%FUBJMTอ༗ΫʔϙϯͷৄࡉϦετ JEΫʔϙϯ*% EJTDPVOUׂҾ཰ EFTDSJQUJPOΫʔϙϯઆ໌จ BENJO؅ཧऀݖݶΛอ༗͍ͯ͠Δ͔Ͳ͏͔ *DPOΞΠίϯը૾ϑΝΠϧ໊ ҟৗऴྃ࣌ NFTTBHFࣦഊཧ༝ උߟ ༗ޮͳηογϣϯ*%Λอ༗͍ͯ͠Δඞཁ͕͋Δɻ

'4Ϣʔβʔϖʔδ VTFS ‣ Ϣʔβʔͷ৘ใΛशಘ͠ ' දࣔ͢Δ ‣ Ϣʔβʔ*% ‣
ද໊ࣔ ‣ &ϝʔϧΞυϨε ‣ ॴ࣋ۚ ‣ ϢʔβʔΞΠίϯը૾ ‣ ߪೖཤྺΛऔಘ͠ ' ɺදࣔ͢Δ ‣ ঎඼໊ ‣ ߪೖ೔࣌ ‣ ݸ਺ ‣ ߹ܭֹۚ

'ߪೖཤྺऔಘ"1* (&5BQJIJTUPSZ (&5BQJIJTUPSZ Ϩεϙϯείʔυ ਖ਼ৗऴྃ ҟৗऴྃ ༗ޮͳηογϣϯ*%Λอ༗͍ͯ͠ͳ͍
ϨεϙϯεϘσΟ ਖ਼ৗऴྃ࣌ IJTUPSZߪೖཤྺͷϦετ JEߪೖཤྺJE UJUMF঎඼໊ HPPE@JE঎඼JE VQEBUFE@BUߪೖཤྺ QSJDFߪೖՁ֨ ׂҾޙ DPVOUߪೖݸ਺ ҟৗऴྃ࣌ NFTTBHFࣦഊཧ༝ උߟ ༗ޮͳηογϣϯ*%Λอ༗͍ͯ͠Δඞཁ͕͋Δɻ

'ϩάΞ΢τ MPHPVU (&5MPHPVU Ϩεϙϯείʔυ ਖ਼ৗऴྃ ϨεϙϯεϘσΟ ͳ͠ උߟ
ϩάΠϯ͍ͯ͠ΔϢʔβʔͷηογϣϯ*%ΛແޮԽ͢Δ͜ͱ

'4Ϣʔβʔ࡞੒ DSFBUF ‣ ϢʔβʔΛ࡞੒͢Δ ' ‣ OBNFϢʔβʔ໊ ‣
ϝʔϧΞυϨε ‣ ύεϫʔυ ‣ ΞΠίϯը૾ ೚ҙ ‣ ϢʔβʔΛ࡞੒͢ΔϘλϯͰϢʔβʔΛ࡞੒͢Δ ‣ Ϣʔβʔ࡞੒׬ྃ࣌ʹμΠΞϩάΛදࣔ͢Δ ‣ ࣦഊ࣌ʹΤϥʔϝοηʔδΛදࣔ͢Δ

'Ϣʔβʔ࡞੒"1* 1045BQJDSFBUF 1045BQJDSFBUF ϦΫΤετϘσΟ w OBNFϢʔβʔ໊ ඞਢɾจࣈྻ w
FNBJMϝʔϧΞυϨε ඞਢɾจࣈྻ w QBTTXPSEύεϫʔυ ඞਢɾจࣈྻ Ϩεϙϯείʔυ ਖ਼ৗऴྃ ҟৗऴྃ Ϣʔβʔ·ͨ͸ϝʔϧΞυϨε͕ॏෳ ೖྗ஋͕ෆਖ਼·ͨ͸ෆ଍ ϨεϙϯεϘσΟ ਖ਼ৗऴྃ࣌ ͳ͠ ҟৗऴྃ࣌ NFTTBHFࣦഊཧ༝ උߟ Ϣʔβʔ࡞੒࣌ʹొ࿥ͨ͠ϝʔϧΞυϨεʹϝοηʔδΛૹ ৴͢Δ

'4؅ཧऀը໘ BENJO ‣ ؅ཧऀݖݶݶఆͷΞΧ΢ϯτͰϢʔβʔͷશ৘ใΛ औಘ ' ͠ɺදࣔ͢Δɻ ‣ Ϣʔβʔ໊
‣ ϝʔϧΞυϨε ‣ ϋογϡԽ͞Εͨύεϫʔυ ‣ Ϣʔβʔ࡞੒೔࣌

'શϢʔβʔऔಘ"1* (&5BQJVTFSBMM (&5BQJVFTSBMM Ϩεϙϯείʔυ ਖ਼ৗऴྃ ҟৗऴྃ ༗ޮͳηογϣϯ*%Λอ༗͍ͯ͠ͳ͍
ϨεϙϯεϘσΟ ਖ਼ৗऴྃ࣌ ҎԼͷ಺༰ͷ഑ྻ JEϢʔβʔJE OBNFϢʔβʔ໊ FNBJMϢʔβʔͷϝʔϧΞυϨε QBTTXPSEϢʔβʔͷϋογϡԽ͞Εͨύεϫʔυ DSFBUFE@BUϢʔβʔ࡞੒೔࣌ ҟৗऴྃ࣌ NFTTBHFࣦഊཧ༝ උߟ ༗ޮͳηογϣϯ*%Λอ༗͍ͯ͠Δඞཁ͕͋Γɺ͞Βʹͦͷ Ϣʔβʔ͸؅ཧऀݖݶͰ͋Δඞཁ͕͋Δɻ

'4ύεϫʔυ๨Ε GPSHFU

'4ύεϫʔυ๨Ε GPSHFU ‣ ϝʔϧΞυϨεΛೖྗ͠ɺʮϝʔϧΛૹ৴Ϙλϯʯ Λԡ͢ͱɺొ࿥ϢʔβʔʹϝʔϧΛૹ৴͢Δ ' ‣ ಧ͍ͨϝʔϧͷτʔΫϯΛೖྗ͠ɺʮτʔΫϯΛ
ૹ৴͢ΔϘλϯʯͰૹ৴͢Δ ' ɻ༗ޮͰ͋Ε ͹ύεϫʔυೖྗը໘΁ભҠ͢Δɻ ‣ ৽͍͠ύεϫʔυΛೖྗ͠ɺʮύεϫʔυΛ Ϧηοτ͢ΔʯϘλϯͰϦηοτ͢Δ ' ɻ

'ύεϫʔυϦηοττʔΫϯૹ৴"1* 1045BQJGPSHFUTFOE 1045BQJGPSHFUTFOE ϦΫΤετϘσΟ w FNBJMϝʔϧΞυϨε ඞਢɾจࣈྻ Ϩεϙϯείʔυ ਖ਼ৗऴྃ
ҟৗऴྃ ϦΫΤετ͕ෆਖ਼ ϨεϙϯεϘσΟ ਖ਼ৗऴྃ࣌ ͳ͠ ҟৗऴྃ࣌ NFTTBHFࣦഊཧ༝ උߟ ϝʔϧΞυϨεͷଘࡏ͢Δ͔Ͳ͏͔͸ݸਓ৘ใͷͨΊɺ ͦͷࢫͷΤϥʔϝοηʔδΛฦ͍ͯ͠ͳ͍ɻ

'τʔΫϯݕূ"1* 1045BQJGPSHFUWBMJEBUF 1045BQJGPSHFUWBMJEBUF ϦΫΤετϘσΟ w UPLFOݕূ͢ΔτʔΫϯ ඞਢɾจࣈྻ Ϩεϙϯείʔυ ਖ਼ৗऴྃ
ҟৗऴྃ ϦΫΤετɾτʔΫϯ͕ෆਖ਼ ϨεϙϯεϘσΟ ਖ਼ৗऴྃ࣌ ͳ͠ ҟৗऴྃ࣌ NFTTBHFlԿ͔͕͓͔͍͠Α͏Ͱ͢ɻ΋͏Ұ౓τʔΫϯΛೖ ྗͯ͠Έ͍ͯͩ͘͞z උߟ ԼखʹΤϥʔϝοηʔδΛฦ͢ͱ৘ใ࿙͍͑ʹܨ͕ΔͷͰɺ Τϥʔϝοηʔδ͸ݻఆจݴʹ͍ͯ͠Δɻ

'ύεϫʔυ࠶ઃఆ"1* 1045BQJGPSHFUSFTFUQBTT 1045BQJGPSHFUSFTFUQBTT ϦΫΤετϘσΟ w UPLFOτʔΫϯ ඞਢɾจࣈྻ w
QBTTXPSE৽͍͠ύεϫʔυ ඞਢɾจࣈྻ Ϩεϙϯείʔυ ਖ਼ৗऴྃ ҟৗऴྃ ϦΫΤετɾτʔΫϯ͕ෆਖ਼ ϨεϙϯεϘσΟ ਖ਼ৗऴྃ࣌ ͳ͠ ҟৗऴྃ࣌ NFTTBHFࣦഊཧ༝

'঎඼ݕࡧ"1* 1045BQJTFBSDI 1045BQJTFBSDI ϦΫΤετϘσΟ w LFZXPSEݕࡧΩʔϫʔυ ෦෼Ұக ೚ҙɾจࣈྻ
w ۭจࣈͷ৔߹͸શͯʹώοτ͢Δ w ˞ ଘࡏ͠ͳ͍৔߹͸ۭจࣈѻ͍ w PSE஋ஈͷঢॱ߱ॱ ඞਢɾจࣈྻ Ϩεϙϯείʔυ ਖ਼ৗऴྃ ҟৗऴྃ ϦΫΤετɾτʔΫϯ͕ෆਖ਼ ϨεϙϯεϘσΟ ਖ਼ৗऴྃ࣌ HPPET঎඼ͷϦετ JE঎඼*% UIVNCOBJMαϜωΠϧ QSJDF஋ஈ UJUMFλΠτϧ ҟৗऴྃ࣌ NFTTBHFࣦഊཧ༝

'4ϚδοΫϦϯΫૹ৴ը໘ ‣ ϝʔϧΞυϨεΛೖྗ͠ɺʮϝʔϧΛૹ৴Ϙλ ϯʯΛԡ͢ͱɺొ࿥ϢʔβʔʹϝʔϧΛૹ৴͢ Δ ' ‣ ϚδοΫϦϯΫΛ౿ΉͱɺϩάΠϯΛ͢Δ
'

'ϚδοΫϦϯΫૹ৴"1* 1045BQJNBHJDMJOLTFOE 1045BQJNBHJDMJOLTFOE ϦΫΤετϘσΟ w FNBJMϝʔϧΞυϨε ඞਢɾจࣈྻ Ϩεϙϯείʔυ
ਖ਼ৗऴྃ ҟৗऴྃ ϦΫΤετ͕ෆਖ਼ ϨεϙϯεϘσΟ ਖ਼ৗऴྃ࣌ ͳ͠ ର৅ͷϝʔϧΞυϨεʹϚδοΫϦϯΫΛૹ৴͢Δ ҟৗऴྃ࣌ NFTTBHFࣦഊཧ༝ උߟ ϝʔϧΞυϨεͷଘࡏ͢Δ͔Ͳ͏͔͸ݸਓ৘ใͷͨΊɺ ͦͷࢫͷΤϥʔϝοηʔδΛฦ͍ͯ͠ͳ͍ɻ

'ϚδοΫϦϯΫݕূ"1* NBHJDMJOL\UPLFO^MPHJO (&5NBHJDMJOL Ϩεϙϯείʔυ ਖ਼ৗऴྃ ҟৗऴྃ ϦΫΤετ͕ෆਖ਼
ϨεϙϯεϘσΟ ਖ਼ৗऴྃ࣌ ͳ͠ $PPLJFʹηογϣϯ*%Ληοτ͠ɺτοϓը໘ '4 ΁ͷ ϦμΠϨΫτ͢Δɻ ҟৗऴྃ࣌ NFTTBHFࣦഊཧ༝ උߟ ϩάΠϯτʔΫϯ͸ར༻ͨ͠Β࡟আ͢Δ

'4ϝʔϧຊจઃఆը໘ ‣ ύεϫʔυΛ๨Εͨࡍͷϝʔϧຊจ ‣ ΞΧ΢ϯτొ࿥࣌ͷϝʔϧຊจ ‣ ϚδοΫϦϯΫϝοηʔδͷϝʔϧຊจ Λઃఆ͢Δ ʮมߋΛอଘ͢ΔʯϘλϯͰอଘ͢Δ
'

'ϝʔϧຊจઃఆ"1* 165BQJPQUJPO 165BQJPQUJPO ϦΫΤετϘσΟ ҎԼͷ഑ྻ PQUJPO@OBNFFNBJM@GPSHFU FNBJM@XFMDPN FNBJM@NBHJD@MJOLͷͲΕ͔
PQUJPO@WBMVFઃఆ͍ͨ͠ϝοηʔδ Ϩεϙϯείʔυ ਖ਼ৗऴྃ ҟৗऴྃ ϦΫΤετɾτʔΫϯ͕ෆਖ਼ ϨεϙϯεϘσΟ ਖ਼ৗऴྃ࣌ ͳ͠ ҟৗऴྃ࣌ NFTTBHFࣦഊཧ༝ උߟ $PPLJF༗ޮͳηογϣϯ*%͕ೖ͓ͬͯΓɺͳ͓͔ͭ ͦͷηογϣϯʹඥ෇͍ͨϢʔβʔ͕؅ཧऀݖݶͰ͋Δ͜ͱ ૹ৴͢Δϝʔϧ͸OBNF UPLFO NBHJD@MJOL͕ࢦఆͰ͖Δ͜ ͱ

8FC"QQMJDBUJPO)BSEFOJOHᶄ 4BOPTVLF,BUP Ճ౻ࠤ೭ี ,P'VKJXBSB ౻ݪ޼ ϓϥοτϑΥʔϜηΩϡϦςΟΞγϡΞϥϯεάϧʔϓ

ຊ೔ͷྲྀΕ डߨऀͷօ͞Μʹ ੬ऑੑΛमਖ਼QVTIͯ͠΋Β͏ ӡӦ͕ΞϓϦͷςετ߈ܸ ίʔυϨϏϡʔΛߦ͏ ӡӦ͕੬ऑੑͷमਖ਼ঢ়گΛ֬ೝ͢Δ ੒੷ൃදʂ օ͞Μͷमਖ਼ํ๏ͷ঺հ ੬ऑੑͷ঺հ

αʔϏεͰ੬ऑੑΛൃݟͨ͠ͱ͖ͷमਖ਼ํ๏ ‣࢑ఆରԠ ੬ऑੑ΁ͷຊ࣭తͳରԠʹͳ͓ͬͯΒͣɺ੬ऑੑΛඞͣ͠΋๷͛ΔΑ͏ͳ΋ͷͰ͸ͳ͍ ‣߃ٱରԠ ͦͷ੬ऑੑΛѱ༻ͨ͠߈ܸΛ׬શʹ๷͙ํ๏Ͱ͋Ε͹ɺରԠͷखஈ͸໰Θͳ͍ɻ ‣ਫฏల։ ੬ऑੑͷൃੜʹࢸͬͨ௚઀తͳݪҼΛ୳Δɻ
ͦͷݪҼʹ֘౰͍ͯͦ͠͏ͳ෦෼͕ଞʹͳ͍͔ԣஅతʹݟ௚͠ɺಉ༷ͷ੬ऑੑΛ௵͢ ‣࠶ൃ๷ࢭ ͳͥͦͷ੬ऑੑ͕ੜ·Εͨͷ͔ɺࠜຊతͳݪҼΛ୳Δ ͬ͘͟Γͱͨ࣌͠ܥྻ

ಘ఺ํ๏ ‣ શݸͷ૝ఆ͍ͯ͠Δ੬ऑੑ͕मਖ਼͞Ε͔ͨͲ͏͔Λ ӡӦ͕߈ܸͰ͖Δ͔Ͳ͏͔ͱ͍͏؍఺Ͱ ֬ೝ͠·͢ɻ ‣ ߃ٱରԠతʹमਖ਼͞Ε͍ͯͨΒQUT ෆ׬શͰ͸͋Δ͕͋Δఔ౓๷͓͛ͯΓɺ࢑ఆରԠతʹमਖ਼͞Ε͍ͯΕ ͹QUT ੬ऑੑʹؾ͚͍ͮͯΔͱ͍͏؍఺Ͱಘ఺
‣ ͕࣌ؒ༨ͬͨΒ఺਺ؔ܎ͳ͍Ͱ͕͢ʜ ߈ܸίʔυΛ࡞ͬͯΈΔ ΑΓඒ͍͠௚͠ํΛ໛ࡧͯ͠ΈΔ

͓ئ͍ ‣ ్தͰօ͞Μͷ௨࿩΍DIBUʹࢀՃ͍ͤͯͨͩ͘͜͞ͱ͕͋Γ·͢ɻ ͓अຐ͔΋͠Ε·ͤΜ͕ɺڠྗ͍͚ͯͨͩͨ͠Β޾͍Ͱ͢ɻ ‣ Ͱ͖Δ͚ͩ੬ऑੑ͸ݸ࣏Γ࣍ୈૣΊʹ࿈ܞΛ͓ئ͍͠·͢ɻ ίʔυϨϏϡʔ͕ඞཁͳͷͰɺ Ұؾʹग़͞ΕΔͱΊͬͪΌਏ͍Ͱ͢ɻ
αϒϚϦϯઓ๏

ߨٛͷεέδϡʔϧ ۚ ߨٛͷઆ໌ ؀ڥߏங ͓னٳΈ
੬ऑੑͷௐࠪ Ր ੬ऑੑͷमਖ਼ ͓னٳΈ ੬ऑੑͷमਖ਼ ੬ऑੑͷղઆ ߨٛͷઆ໌ ੬ऑੑͷௐࠪ

֤੬ऑੑͷઆ໌

ղઆ ࣾ಺ݶ

Web Application Hardening

Web Application Hardening

More Decks by Recruit

Other Decks in Technology

Featured

Transcript