Upgrade to Pro — share decks privately, control downloads, hide ads and more …

MINI Hardening #1.2 20分LT ZAPを使ったHardening対策術 2015/8/29

F9b27b006dc2c4f3ca6613073c661834?s=47 Yuho Kameda
August 29, 2015
430

MINI Hardening #1.2 20分LT ZAPを使ったHardening対策術 2015/8/29

F9b27b006dc2c4f3ca6613073c661834?s=128

Yuho Kameda

August 29, 2015
Tweet

Transcript

  1. @YuhoKameda

  2. ykame (@YuhoKameda) ZAP Evangelist Hardening競技 参加歴 2012/10 Hardening One(チーム枠) 2013/07

    Hardening One Remix(Ping枠) 2014/06 Hardening 10 APAC(Ping枠) 2014/11 Hardening 10 Evolutions 2015/06 Hardening 10 MarketPlace(MP4)
  3. 診断 •脆弱性が無いか探す 特定 •脆弱性を見つける •見つけた脆弱性を把握する 対策 •見つけた脆弱性を修正する 対策してこそのHardening!

  4. 本スライドに記載の行為を、自身の管理下にな いネットワーク/コンピュータに行った場合、攻撃 行為と判断される場合があります。 自身の管理下にあるネットワークやサーバに対し てのみ行うようにしてください。

  5. OWASP ZAPのインストール OWASP ZAP 2.4.1(2015/7/30 released) 診断ツール OWASP BWAのインストール OWASP

    BWA 1.2 (2015/8/3 released) 診断対象となるアプリケーション 実際に帰宅してから試してみてください! 準備の詳細は、下記で。 http://zapjp.blogspot.jp/
  6. OWASP ZAP (Zed Attack Proxy) Webアプリケーションを簡単に「脆弱性診断」するこ とができるツール ローカルプロキシツール https://code.google.com/p/zaproxy/ https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

  7. OWASP Broken Web Application (BWA) 脆弱なWebアプリケーションの詰め合わせ Java / ASP /

    PHP / Ruby on Rails… https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project
  8. BWAの中にある、古いWordpressを対象 Wordpress 2.0.0 最新は4.3 (2015/8/19)

  9. 古すぎてアラートだらけ

  10. 診断対象範囲を決定 Include In Context 特定ディレクトリ配下だけ診断が可能

  11. 対象をクローリング(スパイダー) 開始したいページを選択 スキャン開始!

  12. 結果… 大量に抽出できた!

  13. 動的スキャン 開始したいページを選択 スキャン開始!

  14. ポートスキャンでオープンポートを特定

  15. Hardening競技には、脆弱なアプリがいっぱい Wordpressの古いバージョン EC-CUBEの古いバージョン Zen Cartの古いバージョン … 脆弱なサーバ・ミドルウェアもいっぱい DNSサーバの設定不備 Bashの古いバージョン OpenSSLの古いバージョン

  16. バージョンが古い… 最新バージョンを確認 バージョンアップやパッチを適用しよう! コードがボロボロ… コードを修正しよう! 設定がデフォルトのまま… 適切に設定しよう! 各役割に合った対応を! ・マネージャー ・Webアプリ開発者

    ・ネットワーク管理者 ・インシデント対応経験者 など
  17. 診断 •脆弱性が無いか探す 特定 •脆弱性を見つける •見つけた脆弱性を把握する 対策 •見つけた脆弱性を修正する

  18. 攻撃を受けて対策するだけがHardening競技 じゃない! 事前に管理するサーバ・Webアプリの脆弱性を 把握し、対策を検討しよう 自前でWebアプリを診断 診断サービスを活用 協力して対策を実施できることを目指そう

  19. 無料のツールでセキュリティを意識したい! http://www.slideshare.net/zaki4649/free-securitycheck

  20. 脆弱性診断の基本手法 無料で手間がかからない! インフラ編 ポートスキャン 脆弱性スキャン Webアプリケーション編 自動診断 ZAPの機能紹介 実際に検出する脆弱性の事例

  21. MP4によるWordPress向けの対策マニュアル WordPressの検証環境を構築するスクリプト公開 https://speakerdeck.com/tsb/20

  22. 脆弱性診断士(Web アプリケーション)スキル マップ プロジェクト 2014 OWASP Japan / JNSAのISOG-J による共同WG

    脆弱性診断士に必要な能力のマッピング プログラマからネットワーク知識、倫理観まで 2014/12/24 「脆弱性診断士(Webアプリケーション)スキルマップ」公開 https://www.owasp.org/index.php/Japan http://isog-j.org/output/2014/about-pentester-web-skillmap-201412.pdf