Upgrade to Pro — share decks privately, control downloads, hide ads and more …

MINI Hardening #1.2 20分LT ZAPを使ったHardening対策術 2015/8/29

Yuho Kameda
August 29, 2015
460

MINI Hardening #1.2 20分LT ZAPを使ったHardening対策術 2015/8/29

Yuho Kameda

August 29, 2015
Tweet

Transcript

  1. @YuhoKameda

    View Slide

  2. ykame (@YuhoKameda)
    ZAP Evangelist
    Hardening競技 参加歴
    2012/10 Hardening One(チーム枠)
    2013/07 Hardening One Remix(Ping枠)
    2014/06 Hardening 10 APAC(Ping枠)
    2014/11 Hardening 10 Evolutions
    2015/06 Hardening 10 MarketPlace(MP4)

    View Slide

  3. 診断
    •脆弱性が無いか探す
    特定
    •脆弱性を見つける
    •見つけた脆弱性を把握する
    対策
    •見つけた脆弱性を修正する
    対策してこそのHardening!

    View Slide

  4. 本スライドに記載の行為を、自身の管理下にな
    いネットワーク/コンピュータに行った場合、攻撃
    行為と判断される場合があります。
    自身の管理下にあるネットワークやサーバに対し
    てのみ行うようにしてください。

    View Slide

  5. OWASP ZAPのインストール
    OWASP ZAP 2.4.1(2015/7/30 released)
    診断ツール
    OWASP BWAのインストール
    OWASP BWA 1.2 (2015/8/3 released)
    診断対象となるアプリケーション
    実際に帰宅してから試してみてください!
    準備の詳細は、下記で。
    http://zapjp.blogspot.jp/

    View Slide

  6. OWASP ZAP (Zed Attack Proxy)
    Webアプリケーションを簡単に「脆弱性診断」するこ
    とができるツール
    ローカルプロキシツール
    https://code.google.com/p/zaproxy/
    https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

    View Slide

  7. OWASP Broken Web Application (BWA)
    脆弱なWebアプリケーションの詰め合わせ
    Java / ASP / PHP / Ruby on Rails…
    https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project

    View Slide

  8. BWAの中にある、古いWordpressを対象
    Wordpress 2.0.0
    最新は4.3 (2015/8/19)

    View Slide

  9. 古すぎてアラートだらけ

    View Slide

  10. 診断対象範囲を決定
    Include In Context
    特定ディレクトリ配下だけ診断が可能

    View Slide

  11. 対象をクローリング(スパイダー)
    開始したいページを選択
    スキャン開始!

    View Slide

  12. 結果…
    大量に抽出できた!

    View Slide

  13. 動的スキャン
    開始したいページを選択
    スキャン開始!

    View Slide

  14. ポートスキャンでオープンポートを特定

    View Slide

  15. Hardening競技には、脆弱なアプリがいっぱい
    Wordpressの古いバージョン
    EC-CUBEの古いバージョン
    Zen Cartの古いバージョン

    脆弱なサーバ・ミドルウェアもいっぱい
    DNSサーバの設定不備
    Bashの古いバージョン
    OpenSSLの古いバージョン

    View Slide

  16. バージョンが古い…
    最新バージョンを確認
    バージョンアップやパッチを適用しよう!
    コードがボロボロ…
    コードを修正しよう!
    設定がデフォルトのまま…
    適切に設定しよう!
    各役割に合った対応を!
    ・マネージャー
    ・Webアプリ開発者
    ・ネットワーク管理者
    ・インシデント対応経験者
    など

    View Slide

  17. 診断
    •脆弱性が無いか探す
    特定
    •脆弱性を見つける
    •見つけた脆弱性を把握する
    対策
    •見つけた脆弱性を修正する

    View Slide

  18. 攻撃を受けて対策するだけがHardening競技
    じゃない!
    事前に管理するサーバ・Webアプリの脆弱性を
    把握し、対策を検討しよう
    自前でWebアプリを診断
    診断サービスを活用
    協力して対策を実施できることを目指そう

    View Slide

  19. 無料のツールでセキュリティを意識したい!
    http://www.slideshare.net/zaki4649/free-securitycheck

    View Slide

  20. 脆弱性診断の基本手法
    無料で手間がかからない!
    インフラ編
    ポートスキャン
    脆弱性スキャン
    Webアプリケーション編
    自動診断
    ZAPの機能紹介
    実際に検出する脆弱性の事例

    View Slide

  21. MP4によるWordPress向けの対策マニュアル
    WordPressの検証環境を構築するスクリプト公開
    https://speakerdeck.com/tsb/20

    View Slide

  22. 脆弱性診断士(Web アプリケーション)スキル
    マップ プロジェクト 2014
    OWASP Japan / JNSAのISOG-J による共同WG
    脆弱性診断士に必要な能力のマッピング
    プログラマからネットワーク知識、倫理観まで
    2014/12/24 「脆弱性診断士(Webアプリケーション)スキルマップ」公開
    https://www.owasp.org/index.php/Japan
    http://isog-j.org/output/2014/about-pentester-web-skillmap-201412.pdf

    View Slide