MINI Hardening #1.2 20分LT　ZAPを使ったHardening対策術 2015/8/29

@YuhoKameda

ykame (@YuhoKameda) ZAP Evangelist Hardening競技参加歴 2012/10 Hardening One(チーム枠) 2013/07
Hardening One Remix(Ping枠) 2014/06 Hardening 10 APAC(Ping枠) 2014/11 Hardening 10 Evolutions 2015/06 Hardening 10 MarketPlace(MP4)

診断 •脆弱性が無いか探す特定 •脆弱性を見つける •見つけた脆弱性を把握する対策 •見つけた脆弱性を修正する対策してこそのHardening！

本スライドに記載の行為を、自身の管理下にないネットワーク/コンピュータに行った場合、攻撃行為と判断される場合があります。自身の管理下にあるネットワークやサーバに対してのみ行うようにしてください。

OWASP ZAPのインストール OWASP ZAP 2.4.1(2015/7/30 released) 診断ツール OWASP BWAのインストール OWASP
BWA 1.2 (2015/8/3 released) 診断対象となるアプリケーション実際に帰宅してから試してみてください！準備の詳細は、下記で。 http://zapjp.blogspot.jp/

OWASP ZAP (Zed Attack Proxy) Webアプリケーションを簡単に「脆弱性診断」することができるツールローカルプロキシツール https://code.google.com/p/zaproxy/ https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

OWASP Broken Web Application (BWA) 脆弱なWebアプリケーションの詰め合わせ Java / ASP /
PHP / Ruby on Rails… https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project

BWAの中にある、古いWordpressを対象 Wordpress 2.0.0 最新は4.3 (2015/8/19)

古すぎてｱﾗｰﾄだらけ

診断対象範囲を決定 Include In Context 特定ディレクトリ配下だけ診断が可能

対象をクローリング(スパイダー) 開始したいページを選択スキャン開始！

結果… 大量に抽出できた！

動的スキャン開始したいページを選択スキャン開始！

ポートスキャンでオープンポートを特定

Hardening競技には、脆弱なアプリがいっぱい Wordpressの古いバージョン EC-CUBEの古いバージョン Zen Cartの古いバージョン … 脆弱なサーバ・ミドルウェアもいっぱい DNSサーバの設定不備 Bashの古いバージョン OpenSSLの古いバージョン
…

バージョンが古い… 最新バージョンを確認バージョンアップやパッチを適用しよう！コードがボロボロ… コードを修正しよう！設定がデフォルトのまま… 適切に設定しよう！各役割に合った対応を！・マネージャー・Webアプリ開発者
・ネットワーク管理者・インシデント対応経験者など

診断 •脆弱性が無いか探す特定 •脆弱性を見つける •見つけた脆弱性を把握する対策 •見つけた脆弱性を修正する

攻撃を受けて対策するだけがHardening競技じゃない！事前に管理するサーバ・Webアプリの脆弱性を把握し、対策を検討しよう自前でWebアプリを診断診断サービスを活用協力して対策を実施できることを目指そう

無料のツールでセキュリティを意識したい！ http://www.slideshare.net/zaki4649/free-securitycheck

脆弱性診断の基本手法無料で手間がかからない！インフラ編ポートスキャン脆弱性スキャン Webアプリケーション編自動診断 ZAPの機能紹介実際に検出する脆弱性の事例

MP4によるWordPress向けの対策マニュアル WordPressの検証環境を構築するスクリプト公開 https://speakerdeck.com/tsb/20

脆弱性診断士（Web アプリケーション）スキルマッププロジェクト 2014 OWASP Japan / JNSAのISOG-J による共同WG
脆弱性診断士に必要な能力のマッピングプログラマからネットワーク知識、倫理観まで 2014/12/24 「脆弱性診断士(Webアプリケーション)スキルマップ」公開 https://www.owasp.org/index.php/Japan http://isog-j.org/output/2014/about-pentester-web-skillmap-201412.pdf

MINI Hardening #1.2 20分LT　ZAPを使ったHardening対策術 ...

MINI Hardening #1.2 20分LT　ZAPを使ったHardening対策術 2015/8/29

Yuho Kameda

More Decks by Yuho Kameda

Featured

Transcript

@YuhoKameda

ykame (@YuhoKameda) ZAP Evangelist Hardening競技参加歴 2012/10 Hardening One(チーム枠) 2013/07

診断 •脆弱性が無いか探す特定 •脆弱性を見つける •見つけた脆弱性を把握する対策 •見つけた脆弱性を修正する対策してこそのHardening！

本スライドに記載の行為を、自身の管理下にないネットワーク/コンピュータに行った場合、攻撃行為と判断される場合があります。自身の管理下にあるネットワークやサーバに対してのみ行うようにしてください。

OWASP ZAPのインストール OWASP ZAP 2.4.1(2015/7/30 released) 診断ツール OWASP BWAのインストール OWASP

OWASP ZAP (Zed Attack Proxy) Webアプリケーションを簡単に「脆弱性診断」することができるツールローカルプロキシツール https://code.google.com/p/zaproxy/ https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

OWASP Broken Web Application (BWA) 脆弱なWebアプリケーションの詰め合わせ Java / ASP /

BWAの中にある、古いWordpressを対象 Wordpress 2.0.0 最新は4.3 (2015/8/19)

古すぎてｱﾗｰﾄだらけ

診断対象範囲を決定 Include In Context 特定ディレクトリ配下だけ診断が可能

対象をクローリング(スパイダー) 開始したいページを選択スキャン開始！

結果… 大量に抽出できた！

動的スキャン開始したいページを選択スキャン開始！

ポートスキャンでオープンポートを特定

診断 •脆弱性が無いか探す特定 •脆弱性を見つける •見つけた脆弱性を把握する対策 •見つけた脆弱性を修正する

攻撃を受けて対策するだけがHardening競技じゃない！事前に管理するサーバ・Webアプリの脆弱性を把握し、対策を検討しよう自前でWebアプリを診断診断サービスを活用協力して対策を実施できることを目指そう

無料のツールでセキュリティを意識したい！ http://www.slideshare.net/zaki4649/free-securitycheck

脆弱性診断の基本手法無料で手間がかからない！インフラ編ポートスキャン脆弱性スキャン Webアプリケーション編自動診断 ZAPの機能紹介実際に検出する脆弱性の事例

MP4によるWordPress向けの対策マニュアル WordPressの検証環境を構築するスクリプト公開 https://speakerdeck.com/tsb/20

脆弱性診断士（Web アプリケーション）スキルマッププロジェクト 2014 OWASP Japan / JNSAのISOG-J による共同WG

MINI Hardening #1.2 20分LT ZAPを使ったHardening対策術 ...

MINI Hardening #1.2 20分LT ZAPを使ったHardening対策術 2015/8/29

More Decks by Yuho Kameda

Featured

Transcript

MINI Hardening #1.2 20分LT　ZAPを使ったHardening対策術 ...

MINI Hardening #1.2 20分LT　ZAPを使ったHardening対策術 2015/8/29