Upgrade to Pro — share decks privately, control downloads, hide ads and more …

MINI Hardening #1.2 20分LT ZAPを使ったHardening対策術 2015/8/29

Yuho Kameda
August 29, 2015
2
460

MINI Hardening #1.2 20分LT ZAPを使ったHardening対策術 2015/8/29

Yuho Kameda

August 29, 2015
Tweet

More Decks by Yuho Kameda

See All by Yuho Kameda
How to use OWASP ZAP & Vulnerabilities Slikmap
ykame
0
8.3k
Enjoy Daily Life by handy tool
ykame
0
43
Find Trust-Information -Public- 20170630 #ssmjp
ykame
1
2.2k
Intel CTF and Open xINT CTF 20161220
ykame
1
940
Hey Siri! Hello Barbie! ssmjp
ykame
0
750
How to create the alert by script of ZAP
ykame
2
590
[bpstudy] OWASP ZAP Vulnerable Assesment.
ykame
2
1.2k
What is ZAP?
ykame
0
420
How to install VMwarePlayer and OWASP BWA
ykame
1
820

Featured

See All Featured
The Language of Interfaces
destraynor
149
21k
Happy Clients
brianwarren
90
5.9k
Building an army of robots
kneath
300
41k
Build The Right Thing And Hit Your Dates
maggiecrowley
22
1.5k
YesSQL, Process and Tooling at Scale
rocio
159
12k
The World Runs on Bad Software
bkeepers
PRO
59
5.8k
Adopting Sorbet at Scale
ufuk
65
7.9k
Stop Working from a Prison Cell
hatefulcrawdad
264
18k
The Cult of Friendly URLs
andyhume
70
5.1k
StorybookのUI Testing Handbookを読んだ
zakiyama
8
3.3k
Facilitating Awesome Meetings
lara
34
4.7k
4 Signs Your Business is Dying
shpigford
171
20k

Transcript

  1. @YuhoKameda

    View Slide

  2. ykame (@YuhoKameda)
    ZAP Evangelist
    Hardening競技 参加歴
    2012/10 Hardening One(チーム枠)
    2013/07 Hardening One Remix(Ping枠)
    2014/06 Hardening 10 APAC(Ping枠)
    2014/11 Hardening 10 Evolutions
    2015/06 Hardening 10 MarketPlace(MP4)

    View Slide

  3. 診断
    •脆弱性が無いか探す
    特定
    •脆弱性を見つける
    •見つけた脆弱性を把握する
    対策
    •見つけた脆弱性を修正する
    対策してこそのHardening!

    View Slide

  4. 本スライドに記載の行為を、自身の管理下にな
    いネットワーク/コンピュータに行った場合、攻撃
    行為と判断される場合があります。
    自身の管理下にあるネットワークやサーバに対し
    てのみ行うようにしてください。

    View Slide

  5. OWASP ZAPのインストール
    OWASP ZAP 2.4.1(2015/7/30 released)
    診断ツール
    OWASP BWAのインストール
    OWASP BWA 1.2 (2015/8/3 released)
    診断対象となるアプリケーション
    実際に帰宅してから試してみてください!
    準備の詳細は、下記で。
    http://zapjp.blogspot.jp/

    View Slide

  6. OWASP ZAP (Zed Attack Proxy)
    Webアプリケーションを簡単に「脆弱性診断」するこ
    とができるツール
    ローカルプロキシツール
    https://code.google.com/p/zaproxy/
    https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

    View Slide

  7. OWASP Broken Web Application (BWA)
    脆弱なWebアプリケーションの詰め合わせ
    Java / ASP / PHP / Ruby on Rails…
    https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project

    View Slide

  8. BWAの中にある、古いWordpressを対象
    Wordpress 2.0.0
    最新は4.3 (2015/8/19)

    View Slide

  9. 古すぎてアラートだらけ

    View Slide

  10. 診断対象範囲を決定
    Include In Context
    特定ディレクトリ配下だけ診断が可能

    View Slide

  11. 対象をクローリング(スパイダー)
    開始したいページを選択
    スキャン開始!

    View Slide

  12. 結果…
    大量に抽出できた!

    View Slide

  13. 動的スキャン
    開始したいページを選択
    スキャン開始!

    View Slide

  14. ポートスキャンでオープンポートを特定

    View Slide

  15. Hardening競技には、脆弱なアプリがいっぱい
    Wordpressの古いバージョン
    EC-CUBEの古いバージョン
    Zen Cartの古いバージョン

    脆弱なサーバ・ミドルウェアもいっぱい
    DNSサーバの設定不備
    Bashの古いバージョン
    OpenSSLの古いバージョン

    View Slide

  16. バージョンが古い…
    最新バージョンを確認
    バージョンアップやパッチを適用しよう!
    コードがボロボロ…
    コードを修正しよう!
    設定がデフォルトのまま…
    適切に設定しよう!
    各役割に合った対応を!
    ・マネージャー
    ・Webアプリ開発者
    ・ネットワーク管理者
    ・インシデント対応経験者
    など

    View Slide

  17. 診断
    •脆弱性が無いか探す
    特定
    •脆弱性を見つける
    •見つけた脆弱性を把握する
    対策
    •見つけた脆弱性を修正する

    View Slide

  18. 攻撃を受けて対策するだけがHardening競技
    じゃない!
    事前に管理するサーバ・Webアプリの脆弱性を
    把握し、対策を検討しよう
    自前でWebアプリを診断
    診断サービスを活用
    協力して対策を実施できることを目指そう

    View Slide

  19. 無料のツールでセキュリティを意識したい!
    http://www.slideshare.net/zaki4649/free-securitycheck

    View Slide

  20. 脆弱性診断の基本手法
    無料で手間がかからない!
    インフラ編
    ポートスキャン
    脆弱性スキャン
    Webアプリケーション編
    自動診断
    ZAPの機能紹介
    実際に検出する脆弱性の事例

    View Slide

  21. MP4によるWordPress向けの対策マニュアル
    WordPressの検証環境を構築するスクリプト公開
    https://speakerdeck.com/tsb/20

    View Slide

  22. 脆弱性診断士(Web アプリケーション)スキル
    マップ プロジェクト 2014
    OWASP Japan / JNSAのISOG-J による共同WG
    脆弱性診断士に必要な能力のマッピング
    プログラマからネットワーク知識、倫理観まで
    2014/12/24 「脆弱性診断士(Webアプリケーション)スキルマップ」公開
    https://www.owasp.org/index.php/Japan
    http://isog-j.org/output/2014/about-pentester-web-skillmap-201412.pdf

    View Slide