Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
MINI Hardening #1.2 20分LT ZAPを使ったHardening対策術 ...
Search
Yuho Kameda
August 29, 2015
2
580
MINI Hardening #1.2 20分LT ZAPを使ったHardening対策術 2015/8/29
Yuho Kameda
August 29, 2015
Tweet
Share
More Decks by Yuho Kameda
See All by Yuho Kameda
How to use OWASP ZAP & Vulnerabilities Slikmap
ykame
0
9.3k
Enjoy Daily Life by handy tool
ykame
0
140
Find Trust-Information -Public- 20170630 #ssmjp
ykame
1
2.5k
Intel CTF and Open xINT CTF 20161220
ykame
1
1.3k
Hey Siri! Hello Barbie! ssmjp
ykame
0
990
How to create the alert by script of ZAP
ykame
2
790
[bpstudy] OWASP ZAP Vulnerable Assesment.
ykame
2
1.4k
What is ZAP?
ykame
0
570
How to install VMwarePlayer and OWASP BWA
ykame
1
1.1k
Featured
See All Featured
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
46
2.7k
Building the Perfect Custom Keyboard
takai
2
710
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
aleyda
2
9.8k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
141
35k
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
apolaine
0
220
Producing Creativity
orderedlist
PRO
348
40k
Kristin Tynski - Automating Marketing Tasks With AI
techseoconnect
PRO
0
190
The Straight Up "How To Draw Better" Workshop
denniskardys
239
140k
Balancing Empowerment & Direction
lara
5
930
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
287
14k
Beyond borders and beyond the search box: How to win the global "messy middle" with AI-driven SEO
davidcarrasco
3
66
Transcript
@YuhoKameda
ykame (@YuhoKameda) ZAP Evangelist Hardening競技 参加歴 2012/10 Hardening One(チーム枠) 2013/07
Hardening One Remix(Ping枠) 2014/06 Hardening 10 APAC(Ping枠) 2014/11 Hardening 10 Evolutions 2015/06 Hardening 10 MarketPlace(MP4)
診断 •脆弱性が無いか探す 特定 •脆弱性を見つける •見つけた脆弱性を把握する 対策 •見つけた脆弱性を修正する 対策してこそのHardening!
本スライドに記載の行為を、自身の管理下にな いネットワーク/コンピュータに行った場合、攻撃 行為と判断される場合があります。 自身の管理下にあるネットワークやサーバに対し てのみ行うようにしてください。
OWASP ZAPのインストール OWASP ZAP 2.4.1(2015/7/30 released) 診断ツール OWASP BWAのインストール OWASP
BWA 1.2 (2015/8/3 released) 診断対象となるアプリケーション 実際に帰宅してから試してみてください! 準備の詳細は、下記で。 http://zapjp.blogspot.jp/
OWASP ZAP (Zed Attack Proxy) Webアプリケーションを簡単に「脆弱性診断」するこ とができるツール ローカルプロキシツール https://code.google.com/p/zaproxy/ https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
OWASP Broken Web Application (BWA) 脆弱なWebアプリケーションの詰め合わせ Java / ASP /
PHP / Ruby on Rails… https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project
BWAの中にある、古いWordpressを対象 Wordpress 2.0.0 最新は4.3 (2015/8/19)
古すぎてアラートだらけ
診断対象範囲を決定 Include In Context 特定ディレクトリ配下だけ診断が可能
対象をクローリング(スパイダー) 開始したいページを選択 スキャン開始!
結果… 大量に抽出できた!
動的スキャン 開始したいページを選択 スキャン開始!
ポートスキャンでオープンポートを特定
Hardening競技には、脆弱なアプリがいっぱい Wordpressの古いバージョン EC-CUBEの古いバージョン Zen Cartの古いバージョン … 脆弱なサーバ・ミドルウェアもいっぱい DNSサーバの設定不備 Bashの古いバージョン OpenSSLの古いバージョン
…
バージョンが古い… 最新バージョンを確認 バージョンアップやパッチを適用しよう! コードがボロボロ… コードを修正しよう! 設定がデフォルトのまま… 適切に設定しよう! 各役割に合った対応を! ・マネージャー ・Webアプリ開発者
・ネットワーク管理者 ・インシデント対応経験者 など
診断 •脆弱性が無いか探す 特定 •脆弱性を見つける •見つけた脆弱性を把握する 対策 •見つけた脆弱性を修正する
攻撃を受けて対策するだけがHardening競技 じゃない! 事前に管理するサーバ・Webアプリの脆弱性を 把握し、対策を検討しよう 自前でWebアプリを診断 診断サービスを活用 協力して対策を実施できることを目指そう
無料のツールでセキュリティを意識したい! http://www.slideshare.net/zaki4649/free-securitycheck
脆弱性診断の基本手法 無料で手間がかからない! インフラ編 ポートスキャン 脆弱性スキャン Webアプリケーション編 自動診断 ZAPの機能紹介 実際に検出する脆弱性の事例
MP4によるWordPress向けの対策マニュアル WordPressの検証環境を構築するスクリプト公開 https://speakerdeck.com/tsb/20
脆弱性診断士(Web アプリケーション)スキル マップ プロジェクト 2014 OWASP Japan / JNSAのISOG-J による共同WG
脆弱性診断士に必要な能力のマッピング プログラマからネットワーク知識、倫理観まで 2014/12/24 「脆弱性診断士(Webアプリケーション)スキルマップ」公開 https://www.owasp.org/index.php/Japan http://isog-j.org/output/2014/about-pentester-web-skillmap-201412.pdf
ykame
bcantrill
takai
samlambert
aleyda
eileencodes
apolaine
orderedlist
techseoconnect
denniskardys
lara
stephaniewalter
davidcarrasco
